中心首页 » 安全公告 » 正文

GlobeImposter5.1勒索病毒预警

编辑:林力嘉     发布时间:2021-03-06

  概述


近日,广东省网络安全应急响应中心(网络安全110)所属网络安全威胁数据联盟成员捕获一个勒索病毒,经过分析排查发现,该勒索病毒家族为GlobeImposter



Globelmposter家族首次出现在20175月份,自问世以来一直非常活跃,并相继出现了2.03.04.0等版本,更是囊括了“十二生肖”、“十二主神”、C*H等具有鲜明特色的加密文件后缀。



本次发现的是GlobeImposter家族的最新版本GlobeImposter5.1


10864



  

  恶意软件详细分析


样本分析


此次捕获到的Globelmposter家族新变种,经分析其代码结构与以往变种有很大变化,但其行为流程却具有鲜明的Globelmposter特点,且在攻击现场发现的样本母体被黑客命名为“5.1.exe”,因此也将此次发现的变种定义为Globelmposter 5.1变种。


行为分析


运行后会将自身复制到%LOCALAPPDATA%%APPDATA%目录:


865C


进行持久化操作,设置自启动项,注册表项为

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\LicChk,实现开机自启动,如果在加密过程中主机关机,病毒在系统重启后能够自动运行并继续加密:


99CA


解密出豁免的文件后缀:


1FACD


解密出豁免的文件及文件夹名:




解密出勒索信息文件名:


A2A6


C:\Users\Public目录写入ID文件:


D9FF


文件内容如下:


34A44


加密3种类型的磁盘:可移动磁盘,固定磁盘,网络磁盘。


6D0F


执行命令删除磁盘卷影,并删除注册表中“Terminal Server Client”中的键值,删除远程桌面连接信息文件default.rdp,还会通过wevtutil.exe cl的命令清除日志的相关信息:


14BA4


加密文件,加密后缀为”.IQ0005”:


B878


写入勒索信息文件:


D3F6


勒索信息内容如下:


2D219


勒索结束后病毒文件自删除:


1241E


 

  影响范围


该病毒为最新爆发的变种,国内已出现相关案例,最新版本GlobeImposter 5.1暂时无法解密,相关安全研究机构发现(在江浙、北京等区域)有关案例,该病毒变种对终端用户存在一定的威胁趋势。


 

  解决方案


针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。



广大用户应尽快做好病毒检测与防御措施,防范此次勒索攻击。


病毒检测查杀


1. 网络安全威胁数据联盟成员深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z


基础加固


1、及时给系统和应用打补丁,修复常见高危漏洞;

2、对重要的数据文件定期进行非本地备份;

3、不要点击来源不明的邮件附件,不从不明网站下载软件;

4、尽量关闭不必要的文件共享权限;

5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;

6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。