欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Globelmposter 3变种病毒详细分析报告

来源:本站整理 作者:佚名 时间:2019-03-12 TAG: 我要投稿

0x1 Globelmposter 3勒索病毒简介
Globelmposter是一种比较活跃且变种比较多的病毒,其主要攻击手段是采用RSA加密算法加密本地磁盘下的所有文件,如果想要解密文件必须获取病毒作者手中的私钥信息,故这种病毒的危害性相对比较大。中了这种病毒的主机的主要特征就是,文件名会被加上Tigger444、Techno、DOC、CHAK、FREEMAN、TRUE、RESERVER、ALCO、Dragon444等后缀,在被加密的文件夹下会生成一个txt文档,记载着勒索信息及用户ID识别信息,用户需要将该ID发送给作者并支付一定数额的赎金方可获得解密程序,解锁被加密的数据文件。
 
0x2 GlobeImposter勒索病毒逆向分析
下面是针对近期爆发的GlobeImposter3.0样本进行的逆向分析(样本采集时间大概是在2019年2月份左右)。经过默安科技安全研究员郑斯碟分析,其主要行为包括:

0x0 勒索病毒加密逻辑说明
该勒索病毒使用的是两对RSA密钥。其中一对RSA密钥我们将其姑且称为黑客密钥,黑客密钥的私钥在黑客手上,而公钥则放在病毒程序里用于加密客户端上随机生成的RSA密钥。病毒程序将会使用这个用户密钥中的公钥对用户硬盘上的文件进行加密,而私钥信息则会由病毒程序通过黑客公钥进行加密,生成用户ID。用户主机被感染后,如果想恢复数据文件则需要向攻击者提供用户ID和一定的金钱。攻击者获取到这个用户ID后,通过自身掌握的黑客私钥对用户ID进行解密,获得其中的用户密钥,然后使用用户私钥对用户机子上被加密的文件进行解密。
以下是详细的分析过程
0x1 拷贝病毒文件到指定目录
该病毒执行后会先定位自身所在的文件目录,然后将自身拷贝到C:\Users\Administrator\AppData\Local目录

查看C:\Users\Administrator\AppData\Local

0x2 计算用户ID并写入到public目录下
向C:\Users\Public\文件目录下写入用于加密文件的公钥信息以及用户ID信息,文件名为黑客公钥的hash值。
00409B4B函数为计算用户ID的入口

跟进函数00409B4B

跟进Sub_40A116函数,在这里生成随机rsa密钥对

这里是将用户密钥拼接上.Tigger4444,然后使用黑客公钥将用户密钥信息进行加密。函数409FDE是rsa加密算法入口函数。

以下是rsa加密函数部分源码

在函数sub4027bc中对用户ID进行计算

用户ID计算总结:
在函数Sub_40A116中,随机生成一对RSA密钥,然后将密钥拼接上.Tigger4444等字符串用黑客公钥进行加密,将加密后的文本作为参数传入sub_4027bc函数中,进行一些逻辑运算,最终计算出用户ID值,随后将用户ID写入到public目录下的一个文件中。该文件为
C:\Users\Public\E93F1BCB76F7967D37EB95F05095BDC21391A049734A9DEB06741C6FAF1C1107.txt
文件内容为

上面一串为随机生成的rsa密钥对中的公钥信息,下面是用户ID。
0x3 生成勒索说明文件
计算用户ID,并将勒索信息和用户ID写入到HOW_TO_BACK_FILES.txt文件中。

HOW_TO_BACK_FILES.txt文件中的内容

0x4 创建注册表项,设置开机自启动
病毒程序通过操作注册表,添加一下表项,将病毒程序设置为开机自启。路径是:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck

执行这一操作的函数调用流程是:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载