欢迎访问湖南省网络空间安全协会网站

湖南省网络空间安全协会

近期 Globelmoster 勒索病毒样本分析及建议

发布时间:2019-03-19 16:23 来源:未知

江苏 2019.3.18
经对 Globelmoster 勒索病毒最新样本分析,发现其使用 RSA 非对称算法, 启动后对受害电脑内的每个分区同时开展文件加密,被加密文件除作者外依然无 法解密,病毒具备简单自启动、规避防护及防溯源等功能。
样本本身虽然不具备自动传播能力,但结合其自带的 rdp 连接记录清理功能, 可能有其他恶意程序辅助开展密码爆破,然后配合本程序实施勒索。除此以外的 另一种情况是黑客手工通过其他形式的 APT 攻击对受害目标进行入侵,如果是这 种情况,仅仅修改 3389 弱口令还不行,还需要安装防护软件避免口令破解及修 复诸如永恒之蓝等漏洞。
样本特征: MD5:7d9c3e673366a659090ed14140610fa5 样本行为特点: 1、被病毒加密的文件后缀:.auchentoshan 2、生成的解密文件 how_to_open_files.html 3、病毒不予加密的文件名:
Windows,Microsoft,Microsoft Help,Windows App Certification Kit,Windows Defender,ESET,COMODO,Windows NT,Windows Kits,Windows Mail,Windows Media Player,Windows Multimedia Platform,Windows PhoneKits,Windows Phone Silverlight Kits,Windows Photo Viewer,Windows Portable Devices,Windows Sidebar,WindowsPowerShell,NVIDIA Corporation,Microsoft.NET,Internet Explorer,Kaspersky Lab,McAfee,Avira,spytech software,sysconfig,Avast,Dr.Web,Symantec,Symantec_Client_Security,sys tem volume information,AVG,Microsoft Shared,Common Files,Outlook Express,Movie Maker,Chrome,Mozilla Firefox,Opera,YandexBrowser,ntldr,Wsus,ProgramData
4、病毒自启动方式,添加注册项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 5、启动加密文件的线程,每个盘符启动一个加密线程
6、系统临时目录生成 bat 文件:
该脚本主要是清理备份,防止恢复、过 UAC、清除 rdp 连接记录防止溯源。