欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

多省多家大型企业遭遇GlobeImposter勒索病毒袭击,文件被加密为.WALKER扩展名

来源:本站整理 作者:佚名 时间:2018-08-27 TAG: 我要投稿

腾讯御见威胁情报中心(下称“腾讯安全”)于2018.8.26日监控到国内某重要通信企业多地子公司发生GlobeImposter勒索病毒攻击事件,其中病毒样本攻击变种与8.24日腾讯安全发布的GlobeImposter勒索病毒预警中样本有所区别,其加密后将文件后缀名改为“WALKER”。
经过腾讯安全紧急分析,此次GlobeImposter勒索病毒变种攻击的主要方式仍是暴力破解RDP远程登录密码后,再进一步在内网横向渗透。值得注意的是,与近期其他版本勒索病毒主要针对服务器以及数据库文件加密不同,此次爆发的GlobeImposter勒索病毒并不区分被入侵机器是否服务器,一旦入侵成功后直接感染。除个别路径外,所有文件都被加密为后辍名为“WALKER”的文件。
除上述某重要通信企业外,腾讯安全监控到7月底开始有不同行业的各企业遭受此次WALKER变种攻击。攻击者疑似有意选择8.25日-8.26日周末期间进行大规模入侵,我们预测近一周可能有较多企业遭受类似攻击。
GlobeImposter勒索病毒在一段时间内并无实质性技术更新,近日在部分企业内网爆发,对个人电脑用户影响较小。我们提醒企业用户高度重视近期GlobeImposter勒索病毒的破坏行为,提前备份关键业务系统,避免遭遇勒索病毒破坏之后业务系统出现严重损失。
对于已经中毒的系统,建议在内网下线处理,病毒清理完毕才能重新接入网络。内网其他未中毒的电脑,使用弱口令登录的建议尽快修改,使用由字母、数字和特殊字符组合的复杂密码,避免攻击者暴力破解成功(企业网管可配置强制使用强壮密码,杜绝使用弱密码登录)。
及时修复操作系统补丁,避免因漏洞导致攻击入侵事件发生;终端用户若不使用远程桌面登录服务,建议关闭;局域网内已发生勒索病毒入侵的,可暂时关闭135,139,445端口(暂时禁用Server服务)以减少远程入侵的可能。
影响评级
高危,黑客首先会入侵企业内网,之后再通过暴力破解RDP和SMB服务在内网继续扩散。除个别文件夹外,都被加密,除非得到密钥,受损文件无法解密还原。
影响面
Windows系统的电脑会被波及,目前,御见威胁情报中心发现广东、河南、黑龙江等地已有多个企业受害,预计近期还会有增加。
样本分析
1. 入侵分析
从某感染用户机器上可以看到,8月25日至8月26日凌晨有大量445端口爆破记录

攻击源是内网中非本地区的某台机器,显示该企业内各地分公司都已存在相应风险。
2. 样本分析
加密算法说明
勒索病毒使用了RSA+AES加密方式,加密过程中涉及两对RSA密钥(分别为黑客公私钥和用户公私钥,分别用hacker_rsa_xxx和user_rsa_xxx表示这两对密钥)和一对AES密钥。黑客RSA密钥用于加密用户RSA密钥,用户RSA密钥用于加密AES密钥,AES密钥用于加密文件内容。
具体的加密过程为:
勒索病毒首先解码出一个内置的RSA公钥(hacker_rsa_pub),同时对每个受害用户,使用RSA生成公私钥(user_rsa_pub和user_rsa_pri),其中生成的密钥信息使用内置的RSA公钥(hacker_rsa_Public)进行加密后,作为用户ID。在遍历系统文件,对符合加密要求的文件进行加密。对每个文件,通过CoCreateGuid生成一个唯一标识符,并由该唯一标识符最终生成AES密钥(记为file_aes_key),对文件进行加密。在加密文件的过程中,该唯一标识符会通过RSA公钥 (user_rsa_pub) 加密后保存到文件中。
黑客在收到赎金、用户ID和文件后,通过自己的私钥(hacker_rsa_pri)解密用户ID,可以得到user_rsa_pri,使用user_rsa_pri解密文件,就可以得到文件的file_aes_key,进而可以通过AES算法解密出原始文件。

3. 自启动分析
恶意代码样本为了防止被轻易地分析,加密了大多数字符串和一部分API,运行后会在内存中动态解密,解密后可以看到样本在加密时排除的文件夹与后缀名。首先获取环境变量“%LOCALAPPADATA%”、“%APPDATA%”的路径,若获取不到则退出;获取到后,将自身拷贝到该目录下,然后添加自启动项。

复制之后,将路径写到以下注册表项中
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck,使得自身能够开机自启动

4. 加密过程分析
获取当前机器上每个盘符:

对每个盘符分别创建一个线程,进行文件加密

加密文件前,首先会过滤掉后缀为.WALKER,文件名为HOW_TO_BACK_FILES.html以及保存用户ID的文件,此外还会过滤掉如下路径下的文件:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载