近期,深信服安全团队发现了globeimposter2.0勒索病毒的新变种,该变种疑似通过微软官网工具psexec在内网中传播,并采用了新的勒索界面。截至目前,国内已在政府单位和建筑地产等行业发现了多个感染案例。
此外,我们注意到,国外用户同样受到了该变种的侵害,Twitter上的安全研究账号GrujaRS也同步报告了该变种的活跃情况。
本次发现的勒索病毒正是GlobeImposter2.0家族的新变种。勒索界面如下:
该变种文件加密后缀共有21个:
该变种使用的黑客邮箱有:
GlobeImposter家族简介GlobeImposter是近期非常活跃的勒索家族,首次出现在2017年5月份,此后,不断出现新的版本和变种;今年七月,更有“十二主神”系列爆发,国内医疗行业深受其害。深信服安全团队一直持续关注并跟踪此勒索病毒家族,下图是深信服跟踪GlobeImposter勒索病毒演进的时间轴:
GlobeImposter2.0最新变种详细分析在被勒索的主机中,发现勒索时间点生成了PsExec服务以及3个脚本文件:
PsExec是微软发布的一个轻量级telnet替代工具,使用者无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。微软官方介绍了该工具的安装和使用方法,并且提醒用户该工具会被恶意软件利用。
脚本文件内容如下,其功能为结束mssqlserver以及反病毒软件:
样本分析解密出内置rsa公钥信息,计算内置rsa公钥的sha256哈希,使用内置rsa公钥的sha256哈希作为aes密钥解密出加密文件后缀以及信息提示文件名称:
解密出文件夹白名单,后缀名白名单。详细文件夹名称如下:
播记
播客shownotes生成器 | 为播客创作者而生
43 查看详情 
获取%localappdata%或%appdata%目录,将自身拷贝过去。添加到SoftwareMicrosoftWindowsCurrentVersionRunOnce下的BrowserUpdateCheck作为启动项,其会进行检测是否已被感染:
然后其会在用户的%pulbic%或%ALLUSERPROFILE%下创建内置rsa公钥的sha256哈希为名称的文件,其中保存着用户ID信息以及生成的rsa公钥等信息:
再对用户磁盘进行遍历,包括移动磁盘,固定磁盘以及网络磁盘(基本上是共享或者映射)然后对文件进行加密。
加密完之后会在用户temp目录下生成tmp.bat用来删除用户磁盘卷影,远程桌面连接信息,删除日志信息等:
然后创建一个cmd进程将自身删除:
解决方案:针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
病毒防御勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作,对内网进行感知、查杀和防护。
以上就是GlobeImposter2.0再出新变种,疑似利用PsExec内网传播的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/446139.html
微信扫一扫 
支付宝扫一扫 
