2018年08月30日
最近接到客戶舉報(bào),服務(wù)器文件被勒索軟件加密,聯(lián)系客戶拿到樣本之后,判定該樣本為Globelmposter家族的變種樣本。
Globelmposter家族首次發(fā)現(xiàn)在2017年5月份,這次發(fā)現(xiàn)的樣本為Globelmposter家族的最新樣本,沒(méi)有內(nèi)網(wǎng)傳播功能,其加密文件使用.TRUE擴(kuò)展名,取消了勒索付款的比特幣錢包地址以及回傳信息的“洋蔥”網(wǎng)絡(luò)地址,而是直接通過(guò)郵件地址告知受害者聯(lián)系,然后取得相應(yīng)的付款方式,由于Globelmposter采用RSA2048算法加密,目前該勒索樣本加密的文件無(wú)解密工具。
行為分析
1.勒索樣本在運(yùn)行后,首先判斷%LOCALAPPDATA%或%APPDATA%環(huán)境變量是否存在,如果存在則將自身復(fù)制到%LOCALAPPDATA%或%APPDATA%目錄,如圖所示關(guān)的反匯編代碼如圖
2.復(fù)制自身到%LOCALAPPDATA%或%APPDATA%目錄之后,進(jìn)行持久化操作,設(shè)置自啟動(dòng)項(xiàng),注冊(cè)表項(xiàng)為
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng),反匯編代碼如圖所示:
3.通過(guò)內(nèi)存解密,得到如下圖所示的目錄字符串列表:
勒索軟件在進(jìn)行加密的時(shí)候,會(huì)判斷是否是以上目錄,如果是以上目錄則不進(jìn)行加密操作,如圖所示:
4.生成RSA私鑰并使用硬編碼公鑰加密,之后將加密后的密文轉(zhuǎn)換為ASCII碼,最后將密文寫入%ALLUSERSPROFILE%變量路徑中,生成的密鑰ID文件如圖所示:
5.樣本通過(guò)RSA算法進(jìn)行加密,先通過(guò)CryptGenRandom隨機(jī)生成一組128位密鑰對(duì),然后使用樣本中的硬編碼的256位公鑰生成相應(yīng)的私鑰,最后生成受害用戶的個(gè)人ID序列號(hào),然后加密相應(yīng)的文件夾目錄和擴(kuò)展名,并將生成的個(gè)人ID序列號(hào)寫入到加密文件未尾,如圖所示:
6.用戶感染相應(yīng)的勒索樣本之后,樣本會(huì)加密相應(yīng)的文件夾下的文件,并生成how_to_back_file.html的超文本文件,如圖所示:
生成的超文件文件,顯示了個(gè)人的ID序列號(hào),以及惡意軟件作者的聯(lián)系方式,如圖所示:
7.加密完成之后,進(jìn)行自刪除操作,如圖所示:
防御方式
千里目安全實(shí)驗(yàn)室提醒各位小伙伴們,平時(shí)注意以下安全防范措施:
不要點(diǎn)擊來(lái)源不明的郵件以及附件
及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞
對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份
安裝專業(yè)的終端/服務(wù)器安全防護(hù)軟件
Globelmposter勒索軟件之前的變種會(huì)利用RDP(遠(yuǎn)程桌面協(xié)議),因此建議用戶關(guān)閉相應(yīng)的RDP(遠(yuǎn)程桌面協(xié)議)
盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口,如:445,135,139,3389等。