近日,勒索病毒GlobeImposter最新變種在國內大範圍傳播,包括很多醫院在內的機構遭受了攻擊。早在去年10月份,瑞星便發出GlobeImposter勒索病毒變種預警,呼籲用戶及時做好防禦措施。瑞星反病毒專家介紹,此次GlobeImposter的最新變種與之前版本並無很大區別,依舊是利用RSA+AES加密方式,用戶中招後無法對文件進行解密。病毒在被加密文件夾內留下勒索文本,顯示受害者的個人ID序列號以及病毒作者聯繫方式,要求受害者聯繫病毒作者,支付贖金後才可解密文件。
圖:勒索頁面
GlobeImposter是目前流行的一類勒索病毒,被加密文件會被追加上特殊後綴名,如:.China4444、.Help4444、.Rat4444、.Ox4444、.Tiger4444、.Rabbit4444、.Dragon4444、.Horse4444、.Goat4444、.Monkey4444、.Rooster4444、.Dog4444、.Pig4444等,病毒的變種代碼幾乎完全一樣,只是追加的後綴不同。
據瑞星反病毒專家稱,GlobeImposter 勒索病毒主要是通過RDP遠程桌面弱口令進行攻擊,由於很多用戶設置的密碼過於簡單,很容易被攻擊者暴力破解,將勒索病毒植入機器中加密文件。此外,攻擊者入侵一臺機器後還會利用工具抓取本機密碼,從而攻擊局域網中的其它機器進行人工投毒。很多企業就是由於一臺連接互聯網的機器被攻擊者遠程控制,攻擊者掃描了內網中的其它機器進行攻擊,而造成內網多臺機器中毒的。
GlobeImposter 勒索病毒使用了對稱和非對稱加密算法,在沒有病毒作者RSA私鑰的情況下,是無法解密被加密文件的。而目前網上那些宣稱可以解密的,一種情況是用戶付款後便聯繫不上的騙子,另外一種是充當病毒作者和受害者溝通的中介,通過和病毒作者討價還價購買解密工具,再替受害者解密,但通常由於聯繫不上病毒作者導致文件無法解密。
瑞星安全研究院表示,2019年勒索病毒註定還將繼續活躍,為了更好地應對勒索病毒,企業用戶必須要從相關人員的安全意識和服務器的安全防護兩方面同時加強防禦。因此,瑞星公司為大家提供了以下防範方法與建議:
1、 修改系統密碼為複雜密碼。
此病毒一般是通過弱口令攻擊,因此局域網機器不要使用相同密碼和過於簡單的密碼,儘量使用複雜密碼。
2、 如果不需要遠程操作,可關閉遠程桌面功能,關閉相應端口。
如果攻擊者使用RDP遠程桌面的弱口令攻擊,關閉了遠程桌面的功能和端口,任何人都無法遠程登錄,也就不會被攻擊。
3、 內外網隔離,防止局域網中的一臺機器接入外網,導致整個局域網受到威脅。
對於此類病毒,如果是純內網,攻擊者是無法入侵的,受害者的網絡必然存在缺口,導致攻擊者入侵了一臺連接互聯網的機器,而這臺機器又同時連接了內網,因此攻擊者橫向移動,將病毒植入到內網的其他機器中。
4、 更新系統補丁和Web服務補丁,防止攻擊者通過其它漏洞攻擊。
此病毒是通過RDP弱口令傳播,但是不排除以後的攻擊者使用其它漏洞攻擊,因此及時更新系統補丁和各種Web服務的補丁,提高系統安全,才能最大限度降低被攻擊的風險。
5、 安裝殺毒軟件,保持監控開啟,及時升級病毒庫。
中毒機器如果能事先保持監控開啟,及時更新病毒庫,就可免遭勒索攻擊。瑞星旗下安全防護產品均可查殺此病毒及其變種。如果有兩種情況導致被攻擊,一種是由於弱口令導致攻擊者遠程控制了受害者機器,手動關閉了殺毒軟件;另一種就是病毒庫長期沒有更新。
圖:瑞星ESM查殺截圖
6、 安裝瑞星之劍勒索防禦軟件
瑞星之劍是一款針對未知與已知勒索病毒的防禦工具,可進一步阻止勒索病毒破壞文件。瑞星之劍利用了"智能誘餌"、"基於機器學習的文件格式判定規則"和"智能勒索代碼行為監測"等技術,有效阻止勒索病毒對文件進行修改加密。
圖:瑞星之劍攔截截圖
技術分析
病毒運行後,解密硬編碼的RSA公鑰。
圖:解密病毒作者的RSA公鑰
解密後綴名和勒索文件名。
圖:解密後綴名和勒索文件名
判斷是否在%appdata%目錄,如果不在則複製自身到%appdata%目錄。
圖:複製自身到%appdata%目錄
添加啟動項,偽裝為瀏覽器更新,此處不是為了持久駐留,而是為了防止病毒沒有運行,病毒運行之後會刪除自身文件。
圖:添加啟動項
創建用戶ID文件,將本機生成的RSA公鑰和用戶ID 寫入到此文件。
文件名是作者RSA公鑰的哈希,每臺計算機運行都相同。文件內容中的本地RSA公鑰和用戶ID,每次運行不同。
格式如下圖:
圖:用戶ID文件
調用加密函數開始加密,加密函數包含兩個參數,分別是本機生成的RSA公鑰、用戶ID。本機生成的RSA公鑰會加密隨機生成的AES密鑰(AES密鑰用來加密具體文件的數據),病毒加密文件後會將用戶ID和被加密的AES密鑰追加到文件末尾。
圖:傳入用戶ID和本地生成的RSA公鑰,調用加密函數
加密函數中,首先枚舉所有磁盤。
圖:枚舉本機所有磁盤
之後為每個磁盤創建一個線程,線程回調函數的參數中,傳入要加密的磁盤盤符、用戶ID、本地生成的RSA公鑰,開始加密磁盤中的文件。
圖:創建線程開始加密
進入線程回調函數後,首先遍歷全盤的文件,排除指定的文件夾,排除指定的後綴,確定某個文件需要加密後,開始執行加密文件的函數。加密後在同目錄釋放勒索網頁 HOW_TO_BACK_FILES.txt。
圖:判斷之後執行加密函數
不會加密以下文件夾中的文件,防止系統無法正常運行。
表:不加密的文件夾
進入具體加密文件的函數之後,使用本地生成的rsa公鑰將隨機生成的AES key加密。
圖:加密AES key
之後將加密後的AES key寫入到文件,每個文件都不同,然後使用AES算法加密文件。
圖:使用AES key加密文件
AES加密文件過程。
圖:讀取文件加密後寫入
最後再將UserID 寫入到文件,然後釋放資源,將內存中的AES密鑰清空。
圖:用戶ID寫入文件,清空密鑰
最後病毒會刪除系統自帶的還原、刪除日誌、刪除病毒自身程序,使受害者不知道怎麼中的毒,也找不到病毒樣本,增加調查取證的難度。
解密字符串,釋放運行bat 批處理腳本,腳本的功能是,刪除系統自帶的系統還原,刪除RDP登錄的日誌,防止留下日誌被追蹤。
圖:釋放腳本,刪除日誌
病毒刪除自身,將此線程設置為低優先級,從而使加密文件的線程結束後,再執行刪除病毒自身的功能。但是由於系統環境線程競爭,有一定概率刪除失敗,從而留下病毒樣本。一般情況下如果病毒若只在%appdata%目錄中有一份,運行之後就會自刪除,計算機被加密後,再使用殺毒軟件查殺已經沒有病毒了,因為此病毒的目的不是持久駐留,而是為了加密文件勒索,而留存病毒樣本反而會使分析人員增加對此病毒的瞭解,因此病毒自刪除是常規套路。
圖:刪除自身
閱讀更多 每日科技微訊 的文章
