Potato 发表于 2019-9-23 17:04

GlobeImposter勒索病毒分析

本帖最后由 Potato 于 2019-9-23 17:13 编辑

相关阅读:GlobeImposter勒索病毒信息链接
一、样本信息
   文件名:Globelmposter.exe
   MD5:a7d182ac1e20754e3881f7471954fcd4
    SHA256:18074994c8e38f9682434fcde0122dcb8d379ab5a046c06ff2acf72b1aea13f1

二、样本分析
1.      勒索信息
    Globelmposter留下的勒索信息中唯有PERSONAL ID针对每个用户进行生成,而PERSONAL ID由以下几个部分组成:
    用户非对称密钥对(RSA 1024,随机生成);
    加密用户密钥对的对称加密密钥(AES,随机生成);
    字符串“Hermes865”;
    字符串“HOW TO BACK YOUR FILES.exe”;
    用户机器的计算机名;
    字符串“local”;
    用户非对称密钥(user RSA)和字符串计算机名等信息由随机对称密钥(AES)加密,最后两者通过Globelmposter中携带的攻击者公钥进行加密,最终得到用户      ID(PERSONAL ID),共512字节。

   接着在用户目录下生成勒索信息文件“HOW TO BACK YOUR FILES”,该文件落地前内嵌于病毒中,生成文件后将用户ID写入其中,位于标志(60字节的’\xef’)后方。


2.      注册表修改
    修改注册表以禁用家庭组和Windows Defender。

添加“RunOnce”表项键值“WindowsUpdateCheck”以开机自启动一次,即使程序异常退出,下次开机重启将再次执行;如果成功执行到最后,病毒退出前将删除该键值。


3.      关闭数据库服务
    执行病毒内嵌的bat脚本,删除卷影,关闭机器上的数据库服务,以免加密相关文件失败。


4.      文件遍历
    开始文件遍历前,病毒首先将所有可能存在的空闲卷进行挂载,以便于获取盘符进行文件的遍历与加密。

   病毒的磁盘加密对象是除CD-ROM、RAM类型的其他磁盘,另外还包括dan当前机器可访问的网络共享资源,排除sysvol、tsclient、vboxsvr相关的目录,以免影响系统运行。







    遍历并加密文件时,过滤掉以下文件或目录。

   其中ids.txt作为Globelmposter的日志记录文件,包括用户ID的base64编码值,以及遍历目录和文件加密时出现的错误日志。
获取文件的属性,对不同类型文件执行不同操作:若为readonly文件,去除其只读属性;若为文件夹,则进行记录,以递归遍历文件;若为文档文件则根据其类型进行再次过滤。

   遍历到文档文件时,通过后缀名“.Hermes865”过滤掉已加密的文件以及以下类型的文件:
dll、lnk、ini、sys;
除此之外的可写入文件都将被加密。

5.      文件加密
    病毒在加密时为文件添加后缀名“.Hermes865”,并为每个待加密文件生成一个文件加密对称密钥(AES),用于加密文件内容。其加密部分功能代码如下:

   其加密流程及被加密后文件结构如下图所示:

   针对多种指定类型(文件类型附于文末)的文件,如果文件大小大于20Mb,Globelmposter将每20Mb作为一个片段,将其中前2Mb的内容映射到内存使用文件加密密钥进行加密,再取消映射完成内容加密,如此循环直到文件结束。
而对于其余的文档文件,程序只会对前2Mb和尾部不足20Mb(整除则尾部不加密)的部分进行加密。


6.      清除日志
    执行病毒内嵌的bat脚本,以删除机器上的所有日志,消除痕迹。


7.      自我删除
    删除Globelmposter可执行文件。


附录:加密文件类型

jxlzh5 发表于 2019-9-25 14:37

有什么办法可以解密文件吗?

Potato 发表于 2019-10-10 21:29

家族:GlobeImposter勒索病毒家族
黑客邮箱:mrimrssmith@protonmail.com
mrimrssmith@cock.li
被加密你文件后缀:mrimrssmith
页: [1]
查看完整版本: GlobeImposter勒索病毒分析