最近流行的GlobeImposter家族,勒索病毒分析
2020-01-03 19:55:32 Author: bbs.pediy.com(查看原文) 阅读量:151 收藏

  1. 看雪论坛
  2. 『软件逆向』

[原创]最近流行的GlobeImposter家族,勒索病毒分析

2019-12-27 00:09 535

[原创]最近流行的GlobeImposter家族,勒索病毒分析

BQC

1

2019-12-27 00:09

535

目录
  • 自2018年8月21日起,多地发生GlobeImposter勒索病毒事件,此次攻击目标主要是开始远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。不断出现新的版本和变种,今年七月,“十二主神”系列爆发,国内多个行业深受威胁。时至今日,暂无解密工具。
    图片描述
    图片描述
  • 上传到VirusTotal检测一下,大部分引擎都标注出这是 GlobeImposter家族的勒索病毒。
    图片描述图片描述
  • 发现有自启动、以及遍历加密文件的操作
    图片描述
  • 根据链接器版本猜测是 vs2017写的程序
    图片描述图片描述
    图片描述
  • 首先申请空间,获取自身路径,拼接路径 "C:\Users\15pb-win7\Desktop\勒索病毒样本Ransom.Globelmposter.x\ids.txt"
    图片描述
  • 生成字符串 DF7ADA61E0284DDD4F1E
    图片描述
  • 把字符串 Aphrodite666和字符串HOW TO BACK YOUR FILES.txt,以及获取的计算机名称,和字符串 local进行拼接。
    图片描述
    图片描述
  • 大概是生成密钥

    图片描述

  • 将上段生成的密钥,追加到勒索文本后,从这得知生成的是用户个人ID
    图片描述

  • 提升权限

    图片描述

  • 获取所有用户配置文件(GetEnvironmentVariableW(allusersprofile))返回值为C:\ProgramData,创建C:\ProgramData\local目录
    图片描述

  • 在目录C:\ProgramData\local\下 创建文件 .DF7ADA61E0284DDD4F1E,写入已下数据(内容暂时不知道什么作用),并设置隐藏。
    图片描述
    图片描述

    图片描述

  • 打开 Homegroup注册表项,并设置DisableHomeGroup的值为1 .作用是禁用家庭组
    图片描述
  • 利用注册表,禁用 ·WindowsDefender·以及相应的实时监控保护等。
    图片描述
    图片描述
    图片描述
  • 打开注册表键RunOnce(只会运行一次),创建名为 "WindowsUpdateCheck"的启动项,混淆成Windows更新。路径为样本所在路径。
    图片描述
    图片描述
  • 使用cmd执行bat脚本,大概执行了删除磁盘卷影,停止一些数据库的服务,停止报告服务器之类的操作
    图片描述
  • 获取驱动器卷的名称(GUID),和驱动器盘符。
    图片描述
  • 会给每个磁盘创建线程
    -每个盘符都 生成用户ID,长度 417h,追加到勒索文本后
    图片描述
    图片描述
  • 又创建线程,作用是遍历磁盘,加密文件。
    图片描述
  • 在各个盘符根目录下创建文件".DF7ADA61E0284DDD4F1E"
    图片描述
  • 遍历文件如果不是下列文件
    图片描述
    然后比较其后缀不为 dlllnkini.sys的话
    图片描述
  • 打开文件获取文件句柄,创建文件映射对象,然后进行加密。
    图片描述
    图片描述
    图片描述
  • 在内存中加密完成后,停止文件映射,此时已经加密完成。
    图片描述
  • 加密完拼接 文件名与Aphrodite666后缀,然后更改名称。
    图片描述
  • 然后在自己路径下创建了一个ids.txt文件,查看其内容应该是保存了一些调试信息和本机生成用户ID。
    图片描述
    图片描述
  • 枚举当前网络中所有的网络资源
    图片描述
  • 删除自己创建的注册表启动项 "WindowsUpdateCheck"
    图片描述
  • 再次使用cmd 执行 bat脚本,大致也是删除卷影,删除日志等操作
    图片描述
  • 删除自身
    图片描述
  • 安装杀毒软件,保持监控开启。
  • 不主动点击莫名邮件以及陌生exe。
  • 及时更新系统,关闭不必要的文件共享,以及端口对病毒密钥的使用生成以及加密解密部分没有做具体分析,因为暂时没有什么好的思路,有很多解密的字符不知道他的具体用处,只知道勒索病毒的流程一般是利用他的RSA公钥,去加密用户电脑生成的密钥。

[2020元旦礼物]《看雪论坛精华17》发布!(补齐之前所有遗漏版本)!

0

 收藏

0

 赞

打赏

分享

最新回复 (0)
游客

登录 | 注册 方可回帖

返回


文章来源: https://bbs.pediy.com/thread-256933.htm
如有侵权请联系:admin#unsafe.sh