高危安全預警48期：GlobeImposter勒索病毒家族預警

近日，一類名為GlobeImposter勒索病毒及其變種在我國廣泛傳播，此次勒索病毒變種繁多，被加密後的文件擴展名也各不相同，包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通過垃圾郵件進行傳播，與以往不同的是，此次變種會通過郵件來告知受害者付款方式，勒索贖金從1到10比特幣不等，安全狗根據目前掌握到的情況發布了高危預警，望用戶周知。

01 病毒家族描述

大多數的文件加密病毒都使用了相同的分布活動，而惡意垃圾郵件是排在第一位的方法，許多計算機用戶仍然無法區分安全和受感染的郵件，事實上，有時網路犯罪分子有能力偽造出完整的官方電子郵件 。

Globelmposter家族首次發現出現在2017年5月份，這時已經有安全人員對其傳播方式以及行為進行了分析。此時稱為Globelmposter1.0，由於其加密技術的代碼缺陷，被勒索的文件可以被EMISIsoft解密。進入到2018前後,Globelmposter從1.0迭代到2.0版本,對其加密技術的缺陷也進行了一定的彌補,以及行為也有相應的改變，同時變種也逐漸增多。

02 傳播途徑

郵件傳播為主,其部分變種帶有區域網傳播功能。

03病毒家族分析

1、Globelmposter1.0特徵

MD5:1bbd2dc9746292c60121865663b287f2

SHA256:2815c8cdb02003298f7959fd1cf6eed893de6652f3861a6a2e3e5744b8ac9234

該勒索病毒出現於2017年5月份,作為其他惡意代碼(如下載器)下載的的文件（可能是JavaScript下載程序）進入並感染的計算機。

勒索病毒檢查是否存在以下文件：

l %TEMP% qfjgmfgmkj.tmp

如果該文件存在，則勒索病毒會退出。如果文件不存在，勒索病毒會創建它。

當勒索病毒執行時，它會創建下列文件：

l %TEMP% qfjgmfgmkj.tmp

l %TEMP% hjkhkHUhhjp.bat

l [加密文件路徑] how_to_back_files.html

並且通過調用vssadmin.exeDelete Shadows /All /Quiet 刪除全盤所有卷影副本,使受害系統無法通過卷影副本進行系統還原。

動態載入將加密所需的dll映射進內存

C:WindowsSysWOW64cryptsp.dll

C:WindowsSysWOW64
saenh.dll

該勒索病毒將以下字元串添加到加密文件名的末尾： .crypt

然後進行加密操作,勒索病毒加密受感染計算機上所有驅動器上的文件,並且在當前目錄建立付款的html文件。

該勒索病毒然後顯示贖金，要求在比特幣付款解密文件。

勒索付款界面如下（大多數人通過這個界面判斷）：

2、Globelmposter2.0變種一特徵

MD5:29D0E472D7664FF085D0ADE24C7608FC

SHA256:71173af872476c7107ae289721b46150d2d1fcc0b78bff7783b842d48fab716d

此病毒先加密所有文件之後再判斷%temp%中是否有文件tmp48B4.tmp,若沒有則創建tmp48B4.tmp為0位元組文件,並且創建tmp48B4.tmp.bat並且執行tmp48B4.tmp.bat刪除卷影副本，與上一個病毒樣本行為相反。

判斷傳入參數不為本地迴環地址之後嘗試通過共享連接傳播

下圖為捕獲的印表機服務請求以及共享連接流量

勒索付款界面如下:

3、Globelmposter2.0變種二

MD5:baa812190f678e4c3cf2d3e4eb86448a

SHA256:3aa878cb0de4083c7b9e4630c869b0c2557ddc993f1ffb83ec08faae46dec9f5

該變種的行為較為簡單，直接加密文件且無網路行為,內置RSA2048硬編碼加密密鑰。

.black加密後綴

勒索付款界面如下:

04 檢測、解密與預防

使用安全狗可以查殺該globeImpster病毒

目前市面上所有的殺毒軟體、反病毒軟體和專殺工具僅能用於移除病毒及其殘留，尚無法解密被勒索的文檔。創建卷影副本之後若是非管理員許可權運行病毒,則可以通過卷影副本還原,因為刪除卷影副本需要管理員許可權。

另外附上國外安全研究人員提供的恢復建議以及EMSISOFT所提供的解密工具及其指南

https://www.2-spyware.com/remove-globeimposter-2-0-ransomware-virus.html(一些恢復方法)

https://decrypter.emsisoft.com/download/globeimposter(解密工具下載地址)

https://decrypter.emsisoft.com/howtos/emsisoft_howto_globeimposter.pdf(解密工具使用指南)

經過驗證，上述解密工具有一定的成功率，但無法保證一定能夠有效。

05結論

該病毒家族除了通過社會工程學傳播,其變種還可以通過內網共享服務傳播.這是一個以垃圾郵件傳播方式為主進行攻擊的，對象是誤點垃圾郵件的個人PC、企業員工及其企業內網。

推薦閱讀：