安全预警

安全预警

您的当前位置: 首页 >> 信息安全 >> 安全预警 >> 正文

【勒索病毒专题】近期活跃的GlobeImposter勒索病毒

发布日期:2019-03-12   来源:    阅读:

威胁等级:★★★★

GlobeImposter勒索病毒是一种比较活跃的勒索病毒,新变种被加密的文件会追加上“.snake4444”后缀名。此病毒主要通过rdp远程桌面弱口令进行攻击,近期国内多家企业、医院等机构中招。

背景介绍

GlobeImposter 勒索病毒是一种比较活跃的勒索病毒,运行后加密受害者文件索要赎金,被加密文件会被追加上特殊后缀名,新变种被加密的文件会追加上“.snake4444”后缀名。

此外还有其它变种会使用不同的后缀名,例如: .China4444 .Help4444 .Rat4444 .Ox4444 .Tiger4444 .Rabbit4444 .Dragon4444 .Horse4444 .Goat4444 .Monkey4444 .Rooster4444 .Dog4444 .Pig4444 等后缀,病毒的这些变种代码几乎完全一样,只是追加的后缀不同。

近期国内多家企业、医院等机构中招,此病毒主要通过rdp远程桌面弱口令进行攻击,一旦密码过于简单,被攻击者暴力破解后,攻击者就会将勒索病毒植入,加密机器上的文件。此外攻击者入侵一台机器后,还会使用工具抓取本机密码,用本机密码攻击局域网中的其它机器,进行人工偷毒。不少机构就是因为,一台连接互联网的机器被攻击者远程控制,攻击者扫描内网中的其它机器进行攻击,造成内网多台机器中毒。

此病毒使用了对称加密和非对称加密算法,加密文件时为了提高加密速度,使用了对称加密算法AES算法加密文件,使用本地生成的RSA公钥,将AES算法的密钥加密,使用病毒作者的RSA公钥将本地生成的RSA私钥加密,因此想要解密文件需要作者的RSA私钥。如果没有病毒作者的RSA私钥,无法解密本地RSA私钥,也就无法解密AES密钥,从而无法解密受害者的文件,而RSA私钥只有病毒作者才有。网上宣称可以解密的,一种是用户付款后就再也联系不上了的骗子,另一种是充当病毒作者和受害者沟通的中介,通过和病毒作者讨价还价购买解密工具,再替受害者解密。第一种情况骗子显然是不会给解密的,即使第二种情况,也有可能联系不上病毒作者无法解密。

病毒MD5:C120F323C78D046C991F0EFE45F3819C

威胁等级:★★★★

病毒攻击视频

查杀病毒视频

拦截病毒视频

技术分析

病毒运行后,解密硬编码的RSA公钥

图:解密病毒作者的RSA公钥

解密后缀名 和 勒索文件名

图:解密后缀名和勒索文件名

判断是否在%appdata%目录,如果不在则复制自身到%appdata%目录

图:复制自身到%appdata%目录

添加启动项, 伪装为浏览器更新,此处不是为了持久驻留,而是为了防止病毒没有运行,病毒运行之后会删除自身文件

图:添加启动项

创建用户ID文件 将本机生成的RSA公钥 和 用户ID 写入到此文件。

文件名是作者RSA公钥的哈希,每台计算机运行都相同。文件内容中的本地RSA公钥 和 用户ID ,每次运行不同。

格式如下图:

图:用户ID文件

调用加密函数开始加密

加密函数包含两个参数,分别是 本机生成的RSA公钥、用户ID

本机生成的RSA公钥 会加密 随机生成的AES密钥 (AES密钥用来加密具体文件的数据)

病毒加密文件后会将用户ID和 被加密的AES密钥追加到文件末尾

图:传入用户ID和本地生成的RSA公钥,调用加密函数

加密函数中,首先枚举所有磁盘

图:枚举本机所有磁盘

之后为每个磁盘创建一个线程 线程回调函数的参数中 传入要加密的磁盘盘符、用户ID、本地生成的RSA公钥 ,开始加密磁盘中的文件

图:创建线程开始加密

进入线程回调函数后

首先遍历全盘的文件,排除指定的文件夹,排除指定的后缀,确定某个文件需要加密后,开始执行加密文件的函数。加密后在同目录释放勒索网页 HOW_TO_BACK_FILES.txt

图:判断之后执行加密函数

不会加密以下文件夹中的文件,防止系统无法正常运行

Windows, Microsoft, Microsoft Help, Windows App Certification Kit, 
Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, 
Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, 
Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, 
Windows Sidebar, WindowsPowerShell, Temp, NVIDIA Corporation, Microsoft.NET, 
Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, 
Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, 
AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, 
Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData

进入具体加密文件的函数之后

使用本地生成的rsa公钥将随机生成的AES key 加密

图:加密AES key

之后将加密后的AES key写入到文件,每个文件都不同,然后使用AES算法加密文件

图:使用AES key加密文件

AES加密文件过程

图:读取文件加密后写入

最后再将UserID 写入到文件 然后释放资源,将内存中的AES密钥清空

图:用户ID写入文件,清空密钥

最后病毒会删除系统自带的还原、删除日志、删除病毒自身程序,使受害者不知道怎么中的毒,也找不到病毒样本,增加调查取证的难度。

解密字符串,释放运行bat 批处理脚本,脚本的功能是,删除系统自带的系统还原,删除RDP登录的日志,防止留下日志被追踪

图:释放脚本,删除日志

病毒删除自身,将此线程设置为低优先级,从而使加密文件的线程结束后,再执行删除病毒自身的功能。但是由于系统环境线程竞争,有一定概率删除失败,从而留下病毒样本。一般情况下如果病毒若只在%appdata%目录中有一份,运行之后就会自删除,计算机被加密后,再使用杀毒软件查杀已经没有病毒了,因为此病毒的目的不是持久驻留,而是为了加密文件勒索,而留存病毒样本反而会使分析人员增加对此病毒的了解,因此病毒自删除是常规套路。

图:删除自身

病毒会在被加密文件夹下留下勒索文本,威胁受害者支付赎金

图:勒索页面HOW_TO_BACK_FILES.txt

防范措施

1.修改系统密码为复杂密码

此病毒一般是通过弱口令攻击,因此局域网的机器不要使用相同密码和过于简单的密码。尽量使用复杂的密码。

2.如果不需要远程操作,可关闭远程桌面功能,关闭相应端口

如果攻击者使用RDP远程桌面的弱口令攻击,关闭了远程桌面的功能和端口,任何人都无法远程登录,也就不会被攻击。

3.内外网隔离,防止局域网中的一台机器接入外网,导致整个局域网受到威胁

对于此类病毒,如果是纯内网,攻击者是无法入侵的,受害者的网络必然存在缺口。导致攻击者入侵了一台连接互联网的机器,而这台机器又同时连接了内网,因此攻击者横向移动,将病毒植入到内网的机器中。

4.更新其它系统补丁和web服务补丁防止攻击者通过其它漏洞攻击

此病毒是通过RDP弱口令传播,但是不排除以后的攻击者使用其它漏洞攻击,因此及时更新系统补丁和各种web服务的补丁,提高系统安全,才能最大限度降低被攻击的风险。

5.安装杀毒软件,保持监控开启,及时升级病毒库

中毒机器 如果能事先保持监控开启,及时更新病毒库,就避免遭受勒索了。

版权所有:河南城建学院网络技术中心
地址:河南省平顶山市新城区龙翔大道河南城建学院行政楼六楼         
邮编:467000