深度解析勒索病毒GlobeImposter3.0變種
背景
GlobeImposter勒索病毒家族從2017年出現,持續活躍到現在,先後出現過V1.0和V2.0兩個版本。最近該勒索病毒又更新了,雖然其整體程式碼框架變化不大,只做了些區域性修改,我們也勉強將其稱為V3.0版本。該版本仍然採用RSA和AES兩種加密演算法的結合,病毒本身也未新增橫向傳播滲透的能力。
相較之前版本,該版本對RSA公鑰和加密檔案字尾採用了加密處理,且將加密檔案的字尾改成.動物名稱+4444的樣子,如:.Horse4444,還會將中招使用者的ID資訊儲存在C:\Users\public\路徑下,檔名是其對應RSA公鑰的SHA256的值。當加密完成後,除了之前已有的清除遠端桌面登入資訊,還添加了自刪除的功能。
目前該類敲詐者病毒主要的傳播方式是掃描滲透配合遠端桌面登入爆破的方式進行傳播,如果重要檔案被加密了,根本沒辦法解密。阿里雲安全團隊對GlobeImposter勒索病毒做了最全面的分析,包括其所有的傳播方式和路徑,希望各企業和使用者提前加固防護,以防伺服器資料被加密勒索,造成不可挽回的損失。
GlobeImposter家族加解密流程圖
該勒索病毒家族的加密檔案流程圖如下
相反黑客解密檔案的流程圖如下:
GlobeImposter V3.0 樣本細節
- 該樣本執行後會動態解密出黑客的RSA的公鑰,而之前的V2.0版本是直接寫死在程式碼中。其公鑰解密出來後的樣子如下圖:
- 該勒索病毒在全盤遍歷檔案的時候,會根據一些關鍵詞來做過濾和篩選。其中這些關鍵詞也是動態解密出來的,其解密程式碼如下:
-
將使用者ID資訊以檔案儲存在C:\Users\public\路徑下,且其檔名是黑客的RSA公鑰的SHA256的值:A1965A0B3E0B2DD766735BAA06C5E8F419AB070A92408411BDB0DC1FFB69D8FC。其具體內容如下:
- 該勒索病毒支援的加密磁碟的型別有三種:硬碟、行動硬碟、網路硬碟。其判斷不同型別硬碟的程式碼如下:
其中各硬碟型別及其含義型別如下表:
- 當加密完成後,該勒索病毒還會"打掃戰場",在臨時目錄下生成一個隨機檔名的.bat檔案,如:tmpADF9.tmp.bat,目的就是為了清除rdp登入的歷史記錄,然後自刪除。bat的內容如下:
傳播方式
方式一
利用mimikatz.exe掃描本機的所有賬戶機器密碼,將結果儲存到result.txt裡面,如果被攻破的機器為域管理員機器,那麼整個域中的所有機器將淪陷。拿到其他機器的賬號,成功登陸進而重複該步驟,再次進行傳播。其具體命令列如下:
方式二
利用區域網掃描工具nasp.exe,掃描哪些機器開放3389埠。然後遠端登入桌面爆破工具NLBrute.exe會根據掃描結果,依次爆破區域網的機器。拿到機器賬號後,成功登陸進而重複該步驟,再次進行傳播。
遠端登入桌面爆破工具NLBrute.exe的配置截圖如下:
專家建議
針對這種主要以遠端登入桌面爆破的方式傳播的勒索病毒,在對伺服器上的重要資料做好及時備份的同時,還建議關閉或者修改遠端登入桌面的埠。不同的伺服器需要使用不同的高強度密碼,杜絕弱密碼的存在。定期檢查機器的漏洞情況,及時安裝漏洞補丁。關閉伺服器之間的檔案共享,關閉或者修改一些常用埠:445、135、139等等。對內網的安全域進行合理的劃分,域之間做好各種ACL的限制,尤其是域管理員機器,一旦被攻破,則整個區域網淪陷。除此之外還要做好全流量日誌的記錄和監控,如果發現網路被攻破,或橫向傳播的行為,及時檢視日誌,查缺補漏。儘可能提高伺服器的安全性,以防企業核心資料被加密,造成重大損失。