欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

GlobeImposter2.0再出新变种,疑似利用PsExec内网传播

来源:本站整理 作者:佚名 时间:2019-09-20 TAG: 我要投稿

近日,深信服安全团队发现了GlobeImposter2.0勒索病毒新变种,该变种疑似利用微软官网工具PsExec进行内网传播并使用了新的勒索界面。截止目前,国内已在政府单位、建筑地产等行业发现多个感染案例。
此外,我们观察到,国外用户也同时受到该变种侵害,Twitter安全研究账号GrujaRS同步发现该变种有活跃现象。

本次发现的勒索病毒正是GlobeImposter2.0家族的新变种。勒索界面如下:

该变种文件加密后缀一共有21个:
.Erenahen,.bobelectron,.ciphered,.tabufa,.saveyoudata,.saveyourdata,.hotprice8,.666decrypt666,.1ibertoned,.unlockassistant,.shelbyboom,AsabHadare,.helpinc,.Coockish,.rescuerr,.supporthelpgood,.decrypt019,.Saveyourdata,.decrypt2019,.helprobot,.telcomsupp2351,.Gamgamga
该变种使用的黑客邮箱有:
· bobelectron@cock.li
· bobelectron@tutanota.com
· Erenahen@cock.li
· Kishemez@tutano.com
GlobeImposter家族简介
GlobeImposter是近期非常活跃的勒索家族,首次出现在2017年5月份,此后,不断出现新的版本和变种;今年七月,更有“十二主神”系列爆发,国内医疗行业深受威胁。深信服安全团队一直持续关注并跟踪此勒索病毒家族,下图是深信服跟踪GlobeImposter勒索病毒演进的时间轴:

GlobeImposter2.0最新变种详细分析
在被勒索的主机中,发现勒索时间点生成了PsExec服务以及3个脚本文件:

PsExec是微软发布的一个轻量级telnet替代工具,使用者无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。微软官方介绍了该工具的安装和使用方法,并且提醒用户该工具会被恶意软件利用。

脚本文件内容如下,其功能为结束mssqlserver以及反病毒软件:

样本分析
解密出内置rsa公钥信息,计算内置rsa公钥的sha256哈希,使用内置rsa公钥的sha256哈希作为aes密钥解密出加密文件后缀以及信息提示文件名称:

解密出文件夹白名单,后缀名白名单。详细文件夹名称如下:
Windows, Microsoft, Microsoft Help, Windows App Certification Kit, windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Nindows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, windows Sidebar, WindowsPowerShel1, VIDIA Corporation, Microsoft. NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr. Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData
获取%localappdata%者%appdata%目录,将自身拷贝过去。添加到Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce下的BrowserUpdateCheck作为启动项,其会进行检测是否已被感染:


然后其会在用户的%pulbic%或者%ALLUSERPROFILE%下创建内置rsa公钥的sha256哈希为名称的文件,其中保存着用户ID信息以及生成的rsa公钥等信息:

再对用户磁盘进行遍历,包括移动磁盘,固定磁盘以及网络磁盘(基本上是共享或者映射)然后对文件进行加密。
加密完之后会在用户temp目录下生成tmp.bat用来删除用户磁盘卷影,远程桌面连接信息,删除日志信息等:


然后创建一个cmd进程将自身删除:

解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载