【原创】最近流行的GlobeImposter家族，勒索病毒分析

帛青赤

背景介绍

• 自2018年8月21日起，多地发生GlobeImposter勒索病毒事件，此次攻击目标主要是开始远程桌面服务的服务器，攻击者通过暴力破解服务器密码，对内网服务器发起扫描并人工投放勒索病毒，导致文件被加密。不断出现新的版本和变种，今年七月，“十二主神”系列爆发，国内多个行业深受威胁。时至今日，暂无解密工具。
• 
  

VirusTotal

• 上传到VirusTotal检测一下，大部分引擎都标注出这是 GlobeImposter家族的勒索病毒。
  

样本基本信息


沙箱动态检测

• 发现有自启动、以及遍历加密文件的操作
  

• 根据链接器版本猜测是 vs2017写的程序
  

感染迹象





详细分析

• 首先申请空间，获取自身路径，拼接路径 "C:\Users\15pb-win7\Desktop\勒索病毒样本Ransom.Globelmposter.x\ids.txt"
  

• - 生成字符串 `DF7ADA61E0284DDD4F1E`
  

• 把字符串 `Aphrodite666`和字符串`HOW TO BACK YOUR FILES.txt`,以及获取的计算机名称，和字符串 `local`进行拼接。
  

• 大概是生成密钥
  

• 将上段生成的密钥，追加到勒索文本后，从这得知生成的是用户个人ID
  

• 提升权限
  

• 获取所有用户配置文件（`GetEnvironmentVariableW(allusersprofile)`）返回值为C:\ProgramData，创建` C:\ProgramData\local `目录
  

- 在目录` C:\ProgramData\local\ `下 创建文件  `.DF7ADA61E0284DDD4F1E`，写入已下数据（内容暂时不知道什么作用），并设置隐藏。

• 打开 Homegroup注册表项，并设置`DisableHomeGroup`的值为1 .作用是禁用家庭组
  

• 利用注册表，禁用 ·WindowsDefender·以及相应的实时监控保护等。
  

• 打开注册表键`RunOnce`（只会运行一次）,创建名为 ` "WindowsUpdateCheck"`的启动项，混淆成Windows更新。路径为样本所在路径。
  

• 使用cmd执行bat脚本，大概执行了删除磁盘卷影，停止一些数据库的服务，停止报告服务器之类的操作
  

• 获取驱动器卷的名称（GUID），和驱动器盘符。
  

• 会给每个磁盘创建线程
• 每个盘符都 生成用户ID,长度 417h,追加到勒索文本后
  

• 又创建线程，作用是遍历磁盘，加密文件。
  

• 在各个盘符根目录下创建文件` ".DF7ADA61E0284DDD4F1E"`
  

• 遍历文件如果不是下列文件
  

• 然后比较其后缀不为 `dll`、`lnk`、`ini`、`.sys`的话
  

• 打开文件获取文件句柄，创建文件映射对象，然后进行加密。
  

• 在内存中加密完成后，停止文件映射，此时已经加密完成。
  

• 加密完拼接 文件名与`Aphrodite666`后缀，然后更改名称。
  

• 然后在自己路径下创建了一个`ids.txt`文件，查看其内容应该是保存了一些调试信息和本机生成用户ID。
  

• 枚举当前网络中所有的网络资源
  

• 删除自己创建的注册表启动项 `"WindowsUpdateCheck"`
  

• 再次使用cmd 执行 bat脚本，大致也是删除卷影，删除日志等操作
  

• 删除自身
  

防范措施

• 安装杀毒软件，保持监控开启。
• 不主动点击莫名邮件以及陌生exe。
• 及时更新系统，关闭不必要的文件共享，以及端口
  

一些问题
对病毒密钥的使用生成以及加密解密部分没有做具体分析，因为暂时没有什么好的思路，有很多解密的字符不知道他的具体用处，只知道勒索病毒的流程一般是利用他的RSA公钥，去加密用户电脑生成的密钥。

帛青赤

lcxmap 发表于 2019-12-29 14:46
冒昧想问可否提供样本，想照着文章自己做一次看看

因为没有 virustotal 的帐号，刚刚去 any.run 和 hybr ...

别忘了虚拟机下跑
链接：https://pan.baidu.com/s/1OfyW8uqi7CkgQANxpPsfvQ
提取码：r5ca
复制这段内容后打开百度网盘手机App，操作更方便哦

diyikuai

分析很到位呀！

月下独酌

像大佬致敬。想学习，但是毫无头绪

流浪星空

我客户公司中勒索病毒，重装系统都不行，数据全丢

帛青赤

流浪星空 发表于 2019-12-27 09:25
我客户公司中勒索病毒，重装系统都不行，数据全丢

是，这个暂时没有解密工具出来

帛青赤

发错板块了，应该发到病毒分析区的，有大佬知道咋弄吗？？

隔壁老王Orz

能帮一点是一点www.nomoreransom.org

qq8945051

虽然看不太懂但还是支持下。。。。

lcxmap

冒昧想问可否提供样本，想照着文章自己做一次看看

因为没有 virustotal 的帐号，刚刚去 any.run 和 hybrid analysis 上面也没有看到

感谢您

XiaoDu2017

像大佬致敬。想学习，但是毫无头绪