紧急预警：Globelmposter再爆3.0变种

skinsy

近日，深信服安全团队发现Globelmposter勒索病毒已经更新到3.0变种，受影响的系统，数据库文件被加密破坏，病毒将加密后的文件重命名为.Ox4444扩展名，并要求用户通过邮件沟通赎金跟解密密钥等。目前国内多家大型医院中招，呈现爆发趋势。深信服紧急预警，提醒广大用户做好安全防护，警惕Globelmposter 勒索。病毒名称：Globelmposter3.0 变种病毒性质：勒索病毒影响范围：已有多家医院中招，呈现爆发趋势危害等级：高危病毒分析01. 病毒描述Globelmposter 勒索病毒今年的安全威胁热度一直居高不下。早在今年2月全国各大医院已经爆发过Globelmposter2.0勒索病毒攻击，攻击手法极其丰富，可以通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，其加密的后缀名也不断变化，有：.TECHNO、.DOC、.CHAK、.FREEMAN、.TRUE，.ALC0、.ALC02、.ALC03、.RESERVE等。最新Globelmposter3.0变种后缀为.Ox4444。这次爆发的样本为Globelmposter3.0家族的变种，其加密文件使用Ox4444扩展名，由于Globelmposter采用RSA+AES算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。
02. 样本分析

• 开机自启动
  

病毒本体为一个win32 exe程序，病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录，删除原文件并设置自启动项实现开机自启动，注册表项为HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck。

• 加密勒索
  

加密对象：可移动磁盘，固定磁盘，网络磁盘三种类型的磁盘。加密方式：样本通过RSA算法进行加密，先通过CryptGenRandom随机生成一组128位密钥对，然后使用样本中的硬编码的256位公钥生成相应的私钥，最后生成受害用户的个人ID序列号。然后加密相应的文件夹目录和扩展名，并将生成的个人ID序列号写入到加密文件末尾，如下图所示：

• 隐藏行为
  

通过该病毒中的Bat脚本文件能够删除：1、磁盘卷影 2、远程桌面连接信息 3、日志信息，从而达到潜伏隐藏的目的，其中的删除日志功能，由于bat中存在语法错误，所以未能删除成功。解决方案近期已有大量用户中招Globelmposter病毒，包括2.0和3.0变种。 针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范此次勒索攻击。

• 病毒检测查杀
  

1、深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。http://edr.sangfor.com.cn/tool/SfabAntiBot.zip2、深信服EDR产品及防火墙、安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测。

• 病毒防御
  

1. 及时给电脑打补丁，修复漏洞。2. 对重要的数据文件定期进行非本地备份。3. 更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。4. Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用深信服防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散！5. 深信服防火墙、终端检测响应平台（EDR）均有防爆破功能，防火墙开启此功能并启用11080051、11080027、11080016规则，EDR开启防爆破功能可进行防御。最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用深信服安全感知+防火墙+EDR，对内网进行感知、查杀和防护。

laoda1228

2018.8月份的文章，你现在拿出来， 是不是有点那个啥。。。。。。。。

原文地址：https://www.aqniu.com/threat-alert/37779.html

wekabc

3.0？不是5.0都出来好几个月了么，深信服现在怎么也出这些了，内网封上了445，改掉3389就差不多了。

紅竹

厉害，感谢大神

khcontact

3.0了吗？恩，好强大的感觉

xuejinyu

厉害 非常厉害

luohongxian3

不明觉厉奥，围观！

jaxsen

医院这么容易中招么？

Caitingting

我认识的某数据恢复公司，因为这个大爆发，已经赚欢了 \(≧▽≦)/ 严重怀疑此次更新有中国黑客参与其中。。。

Dear1996

厉害厉害

6263085

文章信息很强大，  希望  大神 能早日  研究出  他们的KEY 。 吾爱    大神    就辛苦你们了

liuxianjun

没有内网怎么传播的么