干货 | GlobeImposter家族的勒索样本分析过程干货 | GlobeImposter家族的勒索样本分析过程科技潮流百家号近日来，安恒安全人员频繁接到用户单位服务器受到勒索病毒攻击，其中某医疗机构出现几十台设备蓝屏和数台设备被感染。经过分析判定感染设备的勒索软件是GlobeImposter家族的新变种。变种病毒样本通常使用包含混淆的JaveScript脚本的邮件传播，加密系统文件并对用户实行支付方式的勒索。将加密文件重命名为.TRUE/.TECHNO/.CHAK/.LIN/.GOTHAM等扩展名。由于GlobeImposter家族使用的算法复杂，解密非常困难。经过安恒APT预警平台分析定位，此次勒索病毒黑客除了使用GlobeImposter家族的新变种对服务器进行加密实现勒索外，同时黑客还持续使用WannaCry进行勒索。事件一过程分析经分析发现，用户出现的勒索病毒是GlobeImposter家族的变种，该勒索病毒将加密后的文件重命名为.TRUE/.TECHNO等扩展名。以下为对此次GlobeImposter家族的勒索样本分析过程：首先它会解密加密排除目录和加密所使用的后缀名称：动态进行调试时能解密这些目录，如：Windows、Microsoft等目录接着拷贝到系统目录并设置为自启动：接着使用CryptGenRandom随机生成的密钥对系统文件进行加密。加密文件使用的都是一些常见加密操作，最终勒索的界面如下：事实上，该勒索软件存在一个严重编码的问题，它设置很多的目录不加密，但是还是有遗漏，导致感染了系统启动关键文件，如感染了“Boot.ini”。被感染的系统在重启后便会启动失败，提示文件丢失。如下图：事件二过程分析某市机构反馈出现多台设备出现蓝屏，经判定，用户主机受到臭名昭著的勒索病毒WannaCry蠕虫感染，安恒安全人员携带APT预警平台协助用户进行追踪溯源。迅速定位到受感染主机上的异常进程文件mssecsvc.exe和mssecsvr.exe，对其定位过程如下：（1）APT检测到SMB远程命令执行成功的告警。（2）通过对服务器端口445占用情况分析发现进程ID为的两个进程持续异常活跃。（3）对进程进行定位发现mssecsvc.exe和mssecsvr.exe蠕虫。（4）通过APT预警平台对样本检测，其为17年5月份爆发的WannaCry蠕虫。此次就不再对这两个样本详细展开分析。防护建议（1）对于已经感染的系统a、断开已经感染的主机系统的网络连接，防止进一步扩散；b、优先检查未感染主机的漏洞状况，做好漏洞加固工作后方可恢复网络连接。c、已经感染终端，根据终端数据重要性决定处置方式，如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。（2）对于未感染的系统a、拔掉网线之后再开机启动；b、做好重要文件的备份工作，备份与感染主机隔离；c、对系统更新补丁。安装防病毒软件，开启防护策略，定期更新查杀；d、对可疑邮件谨慎操作；e、对GlobeImposter勒索软件变种利用RDP协议暴力破解系统密码方式实现传播，建议关闭非必要RDP；f、关闭不必要的端口，如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的ip连接登录；g、采用高强度的口令，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码；h、部署安恒APT预警平台进行检测。本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。科技潮流百家号最近更新：简介:科学不会舍弃真诚爱它的人们。作者最新文章相关文章变种来了！加强版GlobeImposter勒索病毒来袭，附全面防范攻略变种来了！加强版GlobeImposter勒索病毒来袭，附全面防范攻略玩物科技百家号近日，亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播，此次勒索病毒变种繁多，被加密后的文件扩展名也各不相同，包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播，与以往不同的是，此次变种会通过邮件来告知受害者付款方式，勒索赎金从1到10比特币不等。亚信安全相关产品已经可以检测GlobeImposter家族，并将其命名为RANSOM_FAKEGLOBE。亚信安全详解病毒技术细节Globelmposter家族首次出现时间为2017年5月，近日再次活跃，并有大量变种来袭。亚信安全已经拦截该家族的最新变种，将其命名为RANSOM_FAKEGLOBE.THAOLAH。该病毒在被感染系统中生成如下自身拷贝文件：Application Data%{Malwarename }.exe为达到自启动目的，该病毒添加如下注册表键值：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce BrowserUpdateCheck = %Application Data%{Malware name}.exe该病毒避免加密文件名中含有下列字符串的文件：{Malwarename }{GUID}该病毒避免加密下列文件夹中的文件：WindowsMicrosoftMicrosoft HelpWindowsAppCertification KitWindows DefenderESETCOMODOWindows NTWindows KitsWindows MailWindows Media PlayerWindowsMultimediaPlatformWindows PhoneKitsWindows Phone Silverlight KitsWindows Photo ViewerWindowsPortable DevicesWindows SidebarWindowsPowerShellNVIDIACorporationMicrosoft.NETInternetExplorerKaspersky LabMcAfeeAviraspytech softwareSysconfigAvastDr.WebSymantecSymantec_Client_Securitysystem volume informationAVGMicrosoftSharedCommon FilesOutlook ExpressMovie MakerChromeMozillaFirefoxOperaYandexBrowserNtldrWsusProgramData被加密后的文件扩展名为：crypted!其会在加密文件路径下，生成如下勒索提示信息文件：生成的勒索提示文件，主要包括受害者个人的ID序列号和勒索者的联系方式：亚信安全教你如何防范勒索病毒不可能在短期内消失，网络犯罪分子采取的战术策略也在演变，其攻击方式更加多样化。对于勒索病毒的变种，亚信安全建议用户可以通过部署防火墙、邮件网关等产品作为第一道防线，行为监控和漏洞防护产品则可以有效阻止威胁到达客户端。具体防范措施如下：不要点击来源不明的邮件以及附件；及时升级系统，打全系统补丁；尽量关闭不必要的文件共享权限和不必要的端口；请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储；亚信安全病毒码版本13.992.60 ，云病毒码版本13.992.71，全球码版本13.991.00已经可以检测到该病毒，请用户及时升级病毒码版本；亚信安全终端安全产品OfficeScan具有勒索病毒防御功能（AEGIS），可以有效阻拦勒索病毒对用户文件加密；亚信安全邮件安全网关产品，可以有效拦截勒索病毒邮件，做到在源头上进行阻断拦截。本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。玩物科技百家号最近更新：简介:分享最新的科幻小说/科学！作者最新文章相关文章互联科技网值得信赖的科技资讯网！
→ → GlobeImposter家族勒索病毒“卷土重来”，腾讯企业安全“御点”抢先防御
　　2017年WannaCry、Petya、Bad Rabbit等勒索病毒的阴霾尚未完全消散，春节假期刚过，国内便再次发生多起勒索病毒攻击事件。经腾讯企业安全分析发现，此次出现的勒索病毒正是GlobeImposter家族的变种，该勒索病毒将加密后的文件重命名为.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等扩展名，并通过邮件来告知受害者付款方式，使其获利更加容易方便。
　　目前，腾讯企业安全已实时防御该勒索病毒，并建议各大企业用户使用腾讯企业安全&御点&防御此类攻击。同时，普通用户开启腾讯电脑管家&文档守护者&功能备份重要文档，可防御大部分勒索病毒攻击。
　　此次爆发的GlobeImposter家族勒索病毒变种，主要以国内公共机构服务器作为攻击对象。据腾讯企业安全技术专家指出，从捕获的传播样本来看，其恶意代码框架和流程是一致的，唯一不同的就是加密文件的后缀名和攻击者的邮箱地址信息。恶意代码样本为了防止被轻易地分析，加密了大多数字符串和一部分API，而加密后的文件后缀将会重命名为.TRUE等。
　　(病毒程序将加密后的文件重命名为后缀名为.TRUE的文件)
　　勒索软件在加密文件的同时，会创建勒索信息文件，引导受害者通过邮件与勒索者进行联系，要求受害者将一个加密的图片或文档发送到指定的邮箱进行付费解密。
　　基于此次病毒样本的分析及研究不难发现，如今勒索病毒的隐蔽性与传播效率正逐步提升，用户一旦中招更可能造成不可估量的严重后果。企业及个人用户在防御勒索病毒时应更加侧重事前预防，不给不法黑客可乘之机。
　　腾讯企业安全技术专家表示，企业及个人用户日常应养成良好的电脑使用习惯，加强网络安全防范意识：尽量关闭不必要的端口、不必要的文件共享，禁用对共享文件夹的匿名访问;采用高强度的密码，并且强制要求每个服务器使用不同密码管理;对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器;在终端/服务器部署腾讯云等具备专业安全防护能力的云服务，可有效防御病毒入侵。
　　对于企业用户来说，在紧急情况下，应立即组织内网检测，查找所有开放445等服务端口的终端和服务器，一旦发现电脑中毒，立即断网;要求所有员工按照日常防范步骤，检查和落实漏洞修复等安全措施;严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备，同时尽快备份电脑中的重要文件和数据资料。
　　如今，网络安全已逐渐成为企业发展的重要基础建设之一，企业有必要建立一套定制化的网络防御方案，切实提升网络安全防御能力。腾讯企业安全相关负责人表示，在对抗病毒、漏洞攻击活动方面，腾讯&御点&依托腾讯19年的安全经验积累，可有效防御企业内网终端的病毒木马攻击。此外，普通用户也应及时安装操作系统漏洞补丁，安全备份重要数据及文件，以免遭到勒索病毒破坏。
阅读排行榜
名称人数阅读加强版GlobeImposter勒索病毒来袭 这样防范
　　近日，亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播，此次勒索病毒变种繁多，被加密后的文件扩展名也各不相同，包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播，与以往不同的是，此次变种会通过邮件来告知受害者付款方式，勒索赎金从1到10比特币不等。亚信安全相关产品已经可以检测GlobeImposter家族，并将其命名为RANSOM_FAKEGLOBE。
亚信安全详解病毒技术细节
　　Globelmposter家族首次出现时间为2017年5月，近日再次活跃，并有大量变种来袭。亚信安全已经拦截该家族的最新变种，将其命名为RANSOM_FAKEGLOBE.THAOLAH。
　　该病毒在被感染系统中生成如下自身拷贝文件：
　　· %Application Data%\\{ Malware name }.exe
　　为达到自启动目的，该病毒添加如下注册表键值：
　　· HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce BrowserUpdateCheck = %Application Data%\\{Malware name}.exe
　　该病毒避免加密文件名中含有下列字符串的文件：
　　· {Malware name }
　　· how_to_back_files.html
　　· {GUID}
　　该病毒避免加密下列文件夹中的文件：
　　· Windows
　　· Microsoft
　　· Microsoft Help
　　· Windows App Certification Kit
　　· Windows Defender
　　· ESET
　　· COMODO
　　· Windows NT
　　· Windows Kits
　　· Windows Mail
　　· Windows Media Player
　　· Windows Multimedia Platform
　　· Windows PhoneKits
　　· Windows Phone Silverlight Kits
　　· Windows Photo Viewer
　　· WindowsPortable Devices
　　· Windows Sidebar
　　· WindowsPowerShell
　　· NVIDIA Corporation
　　· Microsoft.NET
　　· Internet Explorer
　　· Kaspersky Lab
　　· McAfee
　　· Avira
　　· spytech software
　　· Sysconfig
　　· Avast
　　· Dr.Web
　　· Symantec
　　· Symantec_Client_Security
　　· system volume information
　　· AVG
　　· Microsoft Shared
　　· Common Files
　　· Outlook Express
　　· Movie Maker
　　· Chrome
　　· Mozilla Firefox
　　· Opera
　　· YandexBrowser
　　· Ntldr
　　· Wsus
　　· ProgramData
　　被加密后的文件扩展名为：
　　· crypted!
　　其会在加密文件路径下，生成如下勒索提示信息文件：
　　· how_to_back_files.html
　　生成的勒索提示文件，主要包括受害者个人的ID序列号和勒索者的联系方式：
　　亚信安全教你如何防范
　　勒索病毒不可能在短期内消失，网络犯罪分子采取的战术策略也在演变，其攻击方式更加多样化。对于勒索病毒的变种，亚信安全建议用户可以通过部署防火墙、邮件网关等产品作为第一道防线，行为监控和漏洞防护产品则可以有效阻止威胁到达客户端。具体防范措施如下：
　　· 不要点击来源不明的邮件以及附件；
　　· 及时升级系统，打全系统补丁；
　　· 尽量关闭不必要的文件共享权限和不必要的端口；
　　· 请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储；
　　· 亚信安全病毒码版本13.992.60 ，云病毒码版本13.992.71，全球码版本13.991.00已经可以检测到该病毒，请用户及时升级病毒码版本；
　　· 亚信安全终端安全产品OfficeScan具有勒索病毒防御功能（AEGIS），可以有效阻拦勒索病毒对用户文件加密；
　　· 亚信安全邮件安全网关产品，可以有效拦截勒索病毒邮件，做到在源头上进行阻断拦截。
下载荔枝新闻APP客户端，随时随地看新闻！
微信朋友圈
微信朋友圈变种来了！加强版GlobeImposter勒索病毒来袭，附全面防范攻略_安全焦点谈_网络和信息安全_赛迪网
变种来了！加强版GlobeImposter勒索病毒来袭，附全面防范攻略
Globelmposter家族首次出现时间为2017年5月，近日再次活跃，并有大量变种来袭。亚信安全已经拦截该家族的最新变种，将其命名为RANSOM_FAKEGLOBE.THAOLAH。
发布时间： 10:50&&&&&&&&来源：赛迪网&&&&&&&&作者：
【赛迪网讯】近日，亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播，此次勒索病毒变种繁多，被加密后的文件扩展名也各不相同，包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播，与以往不同的是，此次变种会通过邮件来告知受害者付款方式，勒索赎金从1到10比特币不等。亚信安全相关产品已经可以检测GlobeImposter家族，并将其命名为RANSOM_FAKEGLOBE。
亚信安全详解病毒技术细节
Globelmposter家族首次出现时间为2017年5月，近日再次活跃，并有大量变种来袭。亚信安全已经拦截该家族的最新变种，将其命名为RANSOM_FAKEGLOBE.THAOLAH。
该病毒在被感染系统中生成如下自身拷贝文件：
%Application Data%\{ Malware name }.exe
为达到自启动目的，该病毒添加如下注册表键值：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce&BrowserUpdateCheck = %Application Data%\{Malware name}.exe
该病毒避免加密文件名中含有下列字符串的文件：
{Malware name }how_to_back_files.html{GUID}?
该病毒避免加密下列文件夹中的文件：
Microsoft Help
Windows App Certification Kit
Windows Defender
Windows NT
Windows Kits
Windows Mail
Windows Media Player
Windows Multimedia Platform
Windows PhoneKits
Windows Phone Silverlight Kits
Windows Photo Viewer
WindowsPortable Devices
Windows Sidebar
WindowsPowerShell
NVIDIA Corporation
Microsoft.NET
Internet Explorer
Kaspersky Lab
spytech software
Symantec_Client_Security
system volume information
Microsoft Shared
Common Files
Outlook Express
Movie Maker
Mozilla Firefox
YandexBrowser
ProgramData
被加密后的文件扩展名为：
其会在加密文件路径下，生成如下勒索提示信息文件：
how_to_back_files.html
生成的勒索提示文件，主要包括受害者个人的ID序列号和勒索者的联系方式：
亚信安全教你如何防范
勒索病毒不可能在短期内消失，网络犯罪分子采取的战术策略也在演变，其攻击方式更加多样化。对于勒索病毒的变种，亚信安全建议用户可以通过部署防火墙、邮件网关等产品作为第一道防线，行为监控和漏洞防护产品则可以有效阻止威胁到达客户端。具体防范措施如下：
不要点击来源不明的邮件以及附件；
& 及时升级系统，打全系统补丁；
& 尽量关闭不必要的文件共享权限和不必要的端口；
& 请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储；
& 亚信安全病毒码版本13.992.60 ，云病毒码版本13.992.71，全球码版本13.991.00已经可以检测到该病毒，请用户及时升级病毒码版本；
& 亚信安全终端安全产品OfficeScan具有勒索病毒防御功能（AEGIS），可以有效阻拦勒索病毒对用户文件加密；
& 亚信安全邮件安全网关产品，可以有效拦截勒索病毒邮件，做到在源头上进行阻断拦截。
关键词阅读:
1(共条评论)
2(共条评论)
3(共条评论)
4(共条评论)
5(共条评论)
云计算加速落地的今天安全问题依然严峻，山...
进化，一直都是我们所处这个世界的主题，无...
联系我们：
广告发布：
方案、案例展示：
京ICP000080号 网站-3
&&&&&&&&京公网安备45号