本文为看雪论坛精华文章
看雪论坛作者ID:BQC
自2018年8月21日起,多地发生GlobeImposter勒索病毒事件,此次攻击目标主要是开始远程桌面服务的服务器,攻击者通过暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密。不断出现新的版本和变种,今年七月,“十二主神”系列爆发,国内多个行业深受威胁。时至今日,暂无解密工具。上传到VirusTotal检测一下,大部分引擎都标注出这是 GlobeImposter家族的勒索病毒。首先申请空间,获取自身路径,拼接路径 "C:\Users\15pb-win7\Desktop\勒索病毒样本Ransom.Globelmposter.x\ids.txt"生成字符串 DF7ADA61E0284DDD4F1E:把字符串 Aphrodite666和字符串HOW TO BACK YOUR FILES.txt,以及获取的计算机名称,和字符串 local进行拼接。将上段生成的密钥,追加到勒索文本后,从这得知生成的是用户个人ID:获取所有用户配置文件(GetEnvironmentVariableW(allusersprofile))返回值为C:\ProgramData,创建C:\ProgramData\local目录:在目录C:\ProgramData\local\下 创建文件 .DF7ADA61E0284DDD4F1E,写入以下数据(内容暂时不知道什么作用),并设置隐藏。打开 Homegroup注册表项,并设置DisableHomeGroup的值为1 .作用是禁用家庭组:利用注册表,禁用 ·WindowsDefender·以及相应的实时监控保护等。打开注册表键RunOnce(只会运行一次),创建名为 "WindowsUpdateCheck"的启动项,混淆成Windows更新。路径为样本所在路径。使用cmd执行bat脚本,大概执行了删除磁盘卷影,停止一些数据库的服务,停止报告服务器之类的操作:会给每个磁盘创建线程,每个盘符都 生成用户ID,长度 417h,追加到勒索文本后:在各个盘符根目录下创建文件".DF7ADA61E0284DDD4F1E"
![]()
然后比较其后缀不为 dll、lnk、ini、.sys的话:打开文件获取文件句柄,创建文件映射对象,然后进行加密。在内存中加密完成后,停止文件映射,此时已经加密完成。加密完拼接 文件名与Aphrodite666后缀,然后更改名称。然后在自己路径下创建了一个ids.txt文件,查看其内容应该是保存了一些调试信息和本机生成用户ID。删除自己创建的注册表启动项 "WindowsUpdateCheck":再次使用cmd 执行 bat脚本,大致也是删除卷影,删除日志等操作:对病毒密钥的使用生成以及加密解密部分没有做具体分析,因为暂时没有什么好的思路,有很多解密的字符不知道他的具体用处,只知道勒索病毒的流程一般是利用他的RSA公钥,去加密用户电脑生成的密钥。看雪ID:BQC
https://bbs.pediy.com/user-856083.htm
*本文由看雪论坛 BQC 原创,转载请注明来自看雪社区。好书推荐![]()
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458303082&idx=1&sn=003195f2d752e89a2d1d0385dbf23dee&chksm=b1818ae086f603f6e2606c099b9058398915547b71ccced23a353dbe02a2f3846ff30c9f1013#rd
如有侵权请联系:admin#unsafe.sh