本文为看雪论坛精华文章
看雪论坛作者ID:0x
一、样本信息文件名:svhost.exe文件大小:字节
MD5:
C20FC78DC99F0EFE45FC
SHA:
C6CBF8DD6DDAA6BAE2B4D2BF
二、病毒介绍GlobeImposter3.0是GlobeImposter家族的变种之一,年8月份该勒索病毒变种出现并攻击医院和政企事业单位,GlobeImposter3.0的加密后缀为十二生肖英文名+,所以GlobeImposter3.0勒索病毒又被称为"十二生肖勒索病毒"。
勒索病毒采用RSA加密文件,在加密目录下会生成勒索信息提示文件HOW_TO_BACK_FILES.txt,包含攻击者联系方式和受害者ID等信息。目前该勒索病毒无解密工具。
三、样本分析.病毒会将自身文件复制到AppData\Local目录下,若该目录不存在则复制到AppData\Roaming目录下。
2.病毒在C:\Users\Public目录下创建文件。
文件内容包含RSA公钥和解密所需的用户ID:
3.在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce下创建BrowserUpdateCheck自启动项,实现开机自启动。
4.获取当前磁盘类型,该勒索病毒共支持三种磁盘类型,其中3为本地硬盘,2为软盘,4为网络磁盘。
5.针对每个类型的磁盘创建一个子线程。
遍历磁盘下的文件并对文件进行加密:
在加密目录下生成勒索提示信息“HOW_TO_BACK_FILES.txt”:
加密后的文件后缀为.Snake:
6.在tmp目录下生成.bat脚本文件。
bat脚本内容如下,用于清除文件的卷影副本和rdp远程连接记录:
7.病毒执行完成后会运行%COMSPEC%/cdelfilenamenul,将自身删除。
四、安全建议.勒索病毒常伪装为钓鱼邮件和常用软件,避免下载和运行可疑文件。
2.及时更新系统补丁,防止攻击者通过进行漏洞攻击。
3.不要使用弱口令密码,防止攻击者进行暴力破解。
4.关闭不必要的,如39、、3等高危端口。
5.安装主机防护软件并及时更新病毒库。
-End-看雪ID:0x
转载请注明:http://www.wangguoqiangq.com/sglbzy/7107.html
