GlobeImposter勒索热度不减,改头换面再出5.1变种

2021-03-09 8,482

背景概述

近日,深信服终端安全团队捕获到了Globelmposter家族的又一新变种,经分析其代码结构与以往变种有很大变化,但其行为流程却具有鲜明的Globelmposter特点,且在攻击现场发现的样本母体被黑客命名为“5.1.exe”,因此我们也将此次发现的变种定义为Globelmposter 5.1变种

图片16.png


Globelmposter家族首次出现在2017年5月份,自问世以来一直非常活跃,并相继出现了2.0、3.0、4.0等版本,更是囊括了“十二生肖”、“十二主神”、C*H等具有鲜明特色的加密文件后缀。与C*H变种对比,5.1变种的代码结构进行了大幅度改动

图片1.png

技术分析

病毒运行后会将自身复制到%LOCALAPPDATA%或%APPDATA%目录:

图片2.png


进行持久化操作,设置自启动项,注册表项为

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\LicChk,实现开机自启动,如果在加密过程中主机关机,病毒在系统重启后能够自动运行并继续加密:

图片3.png


解密出豁免的文件后缀:

图片4.png


解密出豁免的文件及文件夹名:

图片5.png


解密出勒索信息文件名:

图片6.png


在C:\Users\Public目录写入ID文件:

图片7.png


文件内容如下:

图片8.png


加密3种类型的磁盘:可移动磁盘,固定磁盘,网络磁盘。

图片9.png


执行命令删除磁盘卷影,并删除注册表中“Terminal Server Client”中的键值,删除远程桌面连接信息文件default.rdp,还会通过wevtutil.exe cl的命令清除日志的相关信息:

图片10.png


加密文件,加密后缀为”.IQ0005”:

图片11.png


写入勒索信息文件:

图片12.png


勒索信息内容如下:

图片13.png


勒索结束后病毒文件自删除:

图片14.png

基础加固

深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:

1、及时给系统和应用打补丁,修复常见高危漏洞;

2、对重要的数据文件定期进行非本地备份;

3、不要点击来源不明的邮件附件,不从不明网站下载软件;

4、尽量关闭不必要的文件共享权限;

5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;

6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/154432.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号