GlobeImposter勒索病毒样本分析

本帖最后由 Potato 于 2022-4-18 15:56 编辑
相关阅读：GlobeImposter勒索病毒信息链接
一、样本信息
   文件名：Globelmposter.exe
   MD5：a7d182ac1e20754e3881f7471954fcd4
SHA256：18074994c8e38f9682434fcde0122dcb8d379ab5a046c06ff2acf72b1aea13f1

二、样本分析
1.       勒索信息
Globelmposter留下的勒索信息中唯有PERSONAL ID针对每个用户进行生成，而PERSONAL ID由以下几个部分组成：
用户非对称密钥对（RSA 1024，随机生成）；
加密用户密钥对的对称加密密钥（AES，随机生成）；
字符串“Hermes865”；
字符串“HOW TO BACK YOUR FILES.exe”；
用户机器的计算机名；
字符串“local”；
用户非对称密钥（user RSA）和字符串计算机名等信息由随机对称密钥（AES）加密，最后两者通过Globelmposter中携带的攻击者公钥进行加密，最终得到用户    ID（PERSONAL ID），共512字节。

360社区

接着在用户目录下生成勒索信息文件“HOW TO BACK YOUR FILES”，该文件落地前内嵌于病毒中，生成文件后将用户ID写入其中，位于标志（60字节的’\xef’）后方。

360社区

2. 注册表修改
修改注册表以禁用家庭组和Windows Defender。

360社区

添加“RunOnce”表项键值“WindowsUpdateCheck”以开机自启动一次，即使程序异常退出，下次开机重启将再次执行；如果成功执行到最后，病毒退出前将删除该键值。

360社区

3. 关闭数据库服务
执行病毒内嵌的bat脚本，删除卷影，关闭机器上的数据库服务，以免加密相关文件失败。

360社区

4. 文件遍历
开始文件遍历前，病毒首先将所有可能存在的空闲卷进行挂载，以便于获取盘符进行文件的遍历与加密。

360社区

病毒的磁盘加密对象是除CD-ROM、RAM类型的其他磁盘，另外还包括dan当前机器可访问的网络共享资源，排除sysvol、tsclient、vboxsvr相关的目录，以免影响系统运行。

360社区

遍历并加密文件时，过滤掉以下文件或目录。

360社区

其中ids.txt作为Globelmposter的日志记录文件，包括用户ID的base64编码值，以及遍历目录和文件加密时出现的错误日志。
获取文件的属性，对不同类型文件执行不同操作：若为readonly文件，去除其只读属性；若为文件夹，则进行记录，以递归遍历文件；若为文档文件则根据其类型进行再次过滤。

360社区

遍历到文档文件时，通过后缀名“.Hermes865”过滤掉已加密的文件以及以下类型的文件：
dll、lnk、ini、sys；
除此之外的可写入文件都将被加密。

5. 文件加密
病毒在加密时为文件添加后缀名“.Hermes865”，并为每个待加密文件生成一个文件加密对称密钥（AES），用于加密文件内容。其加密部分功能代码如下：

360社区

其加密流程及被加密后文件结构如下图所示：

360社区

针对多种指定类型（文件类型附于文末）的文件，如果文件大小大于20Mb，Globelmposter将每20Mb作为一个片段，将其中前2Mb的内容映射到内存使用文件加密密钥进行加密，再取消映射完成内容加密，如此循环直到文件结束。
而对于其余的文档文件，程序只会对前2Mb和尾部不足20Mb（整除则尾部不加密）的部分进行加密。

360社区