瑞星提醒：勒索病毒GlobeImposter最新变种在国内大范围传播

2019-03-11   

近日，勒索病毒GlobeImposter最新变种在国内大范围传播，包括很多医院在内的机构遭受了攻击。早在去年10月份，瑞星便发出GlobeImposter勒索病毒变种预警，呼吁用户及时做好防御措施。

近日，勒索病毒GlobeImposter最新变种在国内大范围传播，包括很多医院在内的机构遭受了攻击。早在去年10月份，瑞星便发出GlobeImposter勒索病毒变种预警，呼吁用户及时做好防御措施。瑞星反病毒专家介绍，此次GlobeImposter的最新变种与之前版本并无很大区别，依旧是利用RSA+AES加密方式，用户中招后无法对文件进行解密。病毒在被加密文件夹内留下勒索文本，显示受害者的个人ID序列号以及病毒作者联系方式，要求受害者联系病毒作者，支付赎金后才可解密文件。

GlobeImposter是目前流行的一类勒索病毒，被加密文件会被追加上特殊后缀名，如： .China4444 .Help4444  .Rat4444  .Ox4444  .Tiger4444  .Rabbit4444  .Dragon4444 .Horse4444 .Goat4444  .Monkey4444  .Rooster4444  .Dog4444  .Pig4444 等，病毒的变种代码几乎完全一样，只是追加的后缀不同。

据瑞星反病毒专家称，GlobeImposter 勒索病毒主要是通过RDP远程桌面弱口令进行攻击，由于很多用户设置的密码过于简单，很容易被攻击者暴力破解，将勒索病毒植入机器中加密文件。此外，攻击者入侵一台机器后还会利用工具抓取本机密码，从而攻击局域网中的其它机器进行人工投毒。很多企业就是由于一台连接互联网的机器被攻击者远程控制，攻击者扫描了内网中的其它机器进行攻击，而造成内网多台机器中毒的。

GlobeImposter 勒索病毒使用了对称和非对称加密算法，在没有病毒作者RSA私钥的情况下，是无法解密被加密文件的。而目前网上那些宣称可以解密的，一种情况是用户付款后便联系不上的骗子，另外一种是充当病毒作者和受害者沟通的中介，通过和病毒作者讨价还价购买解密工具，再替受害者解密，但通常由于联系不上病毒作者导致文件无法解密。

瑞星安全研究院表示，2019年勒索病毒注定还将继续活跃，为了更好地应对勒索病毒，企业用户必须要从相关人员的安全意识和服务器的安全防护两方面同时加强防御。因此，瑞星公司为大家提供了以下防范方法与建议：

1. 修改系统密码为复杂密码。

此病毒一般是通过弱口令攻击，因此局域网机器不要使用相同密码和过于简单的密码，尽量使用复杂密码。

2. 如果不需要远程操作，可关闭远程桌面功能，关闭相应端口。

如果攻击者使用RDP远程桌面的弱口令攻击，关闭了远程桌面的功能和端口，任何人都无法远程登录，也就不会被攻击。

3. 内外网隔离，防止局域网中的一台机器接入外网，导致整个局域网受到威胁。

对于此类病毒，如果是纯内网，攻击者是无法入侵的，受害者的网络必然存在缺口，导致攻击者入侵了一台连接互联网的机器，而这台机器又同时连接了内网，因此攻击者横向移动，将病毒植入到内网的其他机器中。

4. 更新系统补丁和Web服务补丁，防止攻击者通过其它漏洞攻击。

此病毒是通过RDP弱口令传播，但是不排除以后的攻击者使用其它漏洞攻击，因此及时更新系统补丁和各种Web服务的补丁，提高系统安全，才能最大限度降低被攻击的风险。

5. 安装杀毒软件，保持监控开启，及时升级病毒库。

中毒机器如果能事先保持监控开启，及时更新病毒库，就可免遭勒索攻击。瑞星旗下安全防护产品均可查杀此病毒及其变种。如果有两种情况导致被攻击，一种是由于弱口令导致攻击者远程控制了受害者机器，手动关闭了杀毒软件；另一种就是病毒库长期没有更新。

6. 安装瑞星之剑勒索防御软件

瑞星之剑是一款针对未知与已知勒索病毒的防御工具，可进一步阻止勒索病毒破坏文件。瑞星之剑利用了“智能诱饵”、“基于机器学习的文件格式判定规则”和“智能勒索代码行为监测”等技术，有效阻止勒索病毒对文件进行修改加密。

技术分析

病毒运行后，解密硬编码的RSA公钥。

解密后缀名和勒索文件名。

判断是否在%appdata%目录，如果不在则复制自身到%appdata%目录。

添加启动项，伪装为浏览器更新，此处不是为了持久驻留，而是为了防止病毒没有运行，病毒运行之后会删除自身文件。

创建用户ID文件，将本机生成的RSA公钥和用户ID 写入到此文件。

文件名是作者RSA公钥的哈希，每台计算机运行都相同。文件内容中的本地RSA公钥和用户ID，每次运行不同。

格式如下图：

调用加密函数开始加密，加密函数包含两个参数，分别是本机生成的RSA公钥、用户ID。本机生成的RSA公钥会加密随机生成的AES密钥（AES密钥用来加密具体文件的数据），病毒加密文件后会将用户ID和被加密的AES密钥追加到文件末尾。

加密函数中，首先枚举所有磁盘。

之后为每个磁盘创建一个线程，线程回调函数的参数中，传入要加密的磁盘盘符、用户ID、本地生成的RSA公钥，开始加密磁盘中的文件。

进入线程回调函数后，首先遍历全盘的文件，排除指定的文件夹，排除指定的后缀，确定某个文件需要加密后，开始执行加密文件的函数。加密后在同目录释放勒索网页 HOW_TO_BACK_FILES.txt。

不会加密以下文件夹中的文件，防止系统无法正常运行。

Windows, Microsoft, Microsoft Help, Windows App Certification Kit, 
Windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, 
Windows Media Player, Windows Multimedia Platform, Windows Phone Kits, 
Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, 
Windows Sidebar, WindowsPowerShell, Temp, NVIDIA Corporation, Microsoft.NET, 
Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, 
Avast, Dr.Web, Symantec, Symantec_Client_Security, system volume information, 
AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, 
Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData

表：不加密的文件夹

进入具体加密文件的函数之后，使用本地生成的rsa公钥将随机生成的AES key加密。

之后将加密后的AES key写入到文件，每个文件都不同，然后使用AES算法加密文件。

AES加密文件过程。

最后再将UserID 写入到文件，然后释放资源，将内存中的AES密钥清空。

最后病毒会删除系统自带的还原、删除日志、删除病毒自身程序，使受害者不知道怎么中的毒，也找不到病毒样本，增加调查取证的难度。

解密字符串，释放运行bat 批处理脚本，脚本的功能是，删除系统自带的系统还原，删除RDP登录的日志，防止留下日志被追踪。

病毒删除自身，将此线程设置为低优先级，从而使加密文件的线程结束后，再执行删除病毒自身的功能。但是由于系统环境线程竞争，有一定概率删除失败，从而留下病毒样本。一般情况下如果病毒若只在%appdata%目录中有一份，运行之后就会自删除，计算机被加密后，再使用杀毒软件查杀已经没有病毒了，因为此病毒的目的不是持久驻留，而是为了加密文件勒索，而留存病毒样本反而会使分析人员增加对此病毒的了解，因此病毒自删除是常规套路。