欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

GlobeImposter勒索病毒攻击事件分析

来源:本站整理 作者:佚名 时间:2018-08-23 TAG: 我要投稿
及时关注并跟进网络安全的技术进步,有条件的单位,可以采取新型的基于大数据的流量的监测设备并配合专业的分析服务,以便做到蠕虫病毒的第一时间发现、第一时间处置、第一时间溯源根除。
 
技术分析
勒索样本分析
1.样本初始化
勒索样本在运行后首先判断%LOCALAPPDATA%或%APPDATA%环境变量是否存在,如果存在则将自身复制到%LOCALAPPDATA%或%APPDATA%目录,之后将复制后的路径写入:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 从而实现开机启动。                                             

生成RSA私钥并使用硬编码公钥加密,之后将加密后的密文转换为ASCII码,最后将密文写入%ALLUSERSPROFILE% 变量路径中。

2.加密流程
初始化完成后开始进入加密流程,病毒会遍历全盘,在排除样本中不加密文件夹列表后,使用随机生成的公钥加密其他所有文件,之后将之前生成的机器唯一标识写入文件末尾。

排除的路径如下:
Windows
Microsoft
Microsoft Help
Windows App Certification Kit
Windows Defender
ESET
COMODO
Windows NT
Windows Kits
Windows Mail
Windows Media Player
Windows Multimedia PlatformWindows Phone Kits
Windows Phone Silverlight Kits
Windows Photo Viewer
Windows Portable Devices
Windows Sidebar
Windows PowerShell
NVIDIA Corporation
Microsoft .NET
Internet Explorer
Kaspersky Lab
McAfe
Avira
spytech software
sysconfig
Avast
DrWeb
Symantec
Symantec_Client_Security
system volume information
AVG
Microsoft Shared
Common Files
Outlook Express
Movie Maker
Chrome
Mozilla Firefox
Opera
YandexBrowser
ntldr
Wsus
ProgramData
 
时间线
[1] 2018年2月26日-360安全监测与响应中心发布预警通告
[2] 2018年2月27日-360安全监测与响应中心第二次发布预警通告
[3] 2018年8月23日-360安全监测与响应中心第三次发布预警通告
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载