用心将技术和服务遍布全中国
一切都是为了价值无法衡量的数据!



Globelmposter 及 GandCrab 勒索病毒变种再度肆虐互联网

2020-12-21 22:35:04 18694 编辑:91数据恢复专家 来源:本站原创
 

   unC91数据恢复

unC91数据恢复

 unC91数据恢复

    ​    ​近日,Globelmposter以及GandCrab勒索病毒变种再度肆虐互联网,给国内很多企业机构带来重大损失。下面我们就这两起重要的勒索病毒攻击事件进行分析汇总,同时基于相关事件推出启明星辰勒索病毒整体解决方案,并提醒广大企业机构密切注意和防范。unC91数据恢复

 unC91数据恢复

 事件一:Globelmposter3.0变种再度袭击国内多个医疗机构

unC91数据恢复

继去年下半年在国内医疗机构爆发Globelmposter勒索病毒以来,今年3月,该勒索病毒3.0版本变种再次袭击国内多家大型医院。感染后,数据库被加密破坏,文件被加密并重命名为.Globelmposter-Alpha865qqz扩展名,并要求用户通过邮件沟通赎金跟解密密钥。该病毒主要通过RDP弱口令爆破入侵服务器,继而利用已经攻陷的设备做跳板攻击内网内其他主机。unC91数据恢复

 unC91数据恢复

样本分析:unC91数据恢复

(1)样本在执行开始时会对PE文件的完整性进行验证,如果都通过则进入主体流程。unC91数据恢复

unC91数据恢复

 unC91数据恢复

(2)程序进入主流程之后会从自身资源区直接获取一段加密的shellcode并赋值到开辟好的内存块中。这段shellcode的前8字节与另一段16字节的key一起作为shellcode的解密KEY对shellcode每8个字节进行一次解密。unC91数据恢复

unC91数据恢复
 解密算法如下:unC91数据恢复

(3)然后程序会调用VirtualProctet对存放这段shellcode的内存区域赋予可执行权限,并跳转到该shellcode进行执行。这段shellcode会去寻找shellcode中内嵌的一个PE文件的位置,并申请一段内存将其拷贝到申请到的内存空间中,然后将其PE头和后续数据进行解密并覆写到最开始的执行PE文件的PE头和.text区段,然后动态获取所需要的函数地址并重写导入表,最后直接跳转到修改好的代码区域执行最终的勒索软件主体。unC91数据恢复

unC91数据恢复

 unC91数据恢复

(4)勒索软件主体程序会判断是否存在环境变量%appdata%,如果存在则将自身拷贝到该路径下,如果不存在直接结束进程。然后紧接着创建注册表项Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck并将存放再%appdata%的勒索软件主体的路径作为其值,来实现开机自启动。unC91数据恢复

 unC91数据恢复

(5)接着判断是否存在环境变量%public%和%ALLUSERSPROFILE%,如果都不存在则直接结束进程。这个判断的主要目的是为了存放受害者主机生成的密钥和唯一标识码。unC91数据恢复

 unC91数据恢复

(6)之后开始遍历进程,并使用taskkill命令结束掉进程名中含有如下字符串的进程。unC91数据恢复

 unC91数据恢复

(7)进程遍历结束之后,遍历所有盘符,查找磁盘属性为移动磁盘、固定磁盘,网络磁盘对应的盘符,然后找到多少个磁盘就创建多少个对应的线程加密对应磁盘内的数据。unC91数据恢复

 unC91数据恢复

(8)在遍历文件时会判断文件是否属于排除路径,如果不是才会被加密。unC91数据恢复

 unC91数据恢复

(9)文件的加密密钥是由当前被加密的文件所决定,程序会获取需要被加密的文件的文件路径,大小,用户ID来计算对应的AES密钥,然后文件将会使用该密钥加密,同时该密钥会被硬编码的RSA公钥加密保存在文件中,被加密的文件会被附上新的后缀名(依勒索病毒版本变化),并且每个加密文件夹内会生成一个Read__Me.html来指导受害者如何支付赎金。unC91数据恢复

 unC91数据恢复

(10)最后会执行批处理删除卷影副本和远程桌面相关配置。unC91数据恢复

 unC91数据恢复

事件二:黑客冒充公安部门发送钓鱼邮件传播GandCrab5.2勒索病毒

 unC91数据恢复

近日,国内有多个企事业单位收到了黑客冒充公安部门发送的钓鱼邮件,钓鱼邮件标题为“你必须在3月11日下午3点向警察局报到!”,钓鱼邮件同时携带文件名为“03-11-2019.rar”的附件。附件中包含一个可执行文件,经过分析,该可执行文件为GandCrab勒索病毒5.2版本变种。经过对攻击者的分析,我们发现其IP地址主要位于韩国和俄罗斯。unC91数据恢复

unC91数据恢复

 unC91数据恢复

unC91数据恢复
 截止到目前,我们在国内大部分地区均发现了感染案例。unC91数据恢复
unC91数据恢复

 unC91数据恢复

样本分析:unC91数据恢复

(1)样本程序入口有很多花指令,以干扰静态分析。unC91数据恢复

unC91数据恢复

 unC91数据恢复

 unC91数据恢复

 unC91数据恢复

(2)疑似利用OpenProcess进行运行环境检测,传入的ProcessID为固定的0x2D,且有TERMINATE权限。比较返回值是否为INVALID_HANDLE_VALUE,不是继续执行。如果是INVALID_HANDLE_VALUE,则获取错误码,并和0x57比较,等于继续执行,不等于直接退出进程,0x57代表参数错误。unC91数据恢复

 unC91数据恢复

(3)同时为了对抗静态检测,病毒内嵌的字符串都是使用时再进行RC4解密。unC91数据恢复
unC91数据恢复
(4)收集用户的系统信息,包含账号、机器名称、系统版本等信息,并拼接成如下格式:pc_user=*&pc_name=*&pc_group=*&pc_keyb=*&os_major=*&os_bit=*&ransom_id=*&hdd=*&id=*&sub_id=*&version=*&action=call。上述信息使用RC4算法加密,密钥为.oj=294~!z3)9n-1,8^)o((q22)lb$。unC91数据恢复

 unC91数据恢复

(5)在收集完上述信息并加密后,会继续查询输入法,发现有俄文输入法,删除自身文件,并退出进程。没有俄文输入法的话,继续检测操作系统语言,对于如下国家的系统则自动放过加密:419(俄罗斯)、422(乌克兰)、423(比利时)、428(塔吉克)、42b(亚美尼亚)、42c(阿塞拜疆-阿里赛)、437(格鲁吉亚)、43f(吉尔吉斯坦)、440(吉尔吉斯斯坦)、442(土库曼)、443(乌兹别克斯坦)、444(鞑靼斯坦)、818(罗马尼亚)、819(俄罗斯-摩尔多瓦)、82c(阿塞拜疆)、843(乌兹别克)、45A(叙利亚)、2801(未知)unC91数据恢复

 unC91数据恢复

(6)查找并结束如下进程。msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exeinfopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、synctime.exe、dbsnmp.exe、oracle.exe、sqlwriter.exe、ocomm.exe、sqlbrowser.exe、sqlagent.exe、thebat.exe、isqlplussvc.exe、msftesql.exe、agntsvc.exe、xfssvccon.exe、sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe、ocssd.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、mspub.exe、infopath.exe、msaccess.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exeunC91数据恢复

 unC91数据恢复

unC91数据恢复

 unC91数据恢复

 unC91数据恢复

(7)在内存里依次解密出RSA公钥,需要加密的文件扩展名,不需要加密的文件扩展名。unC91数据恢复

 unC91数据恢复

(8)最终遍历所有文件,使用Salsa20加密包含上述扩展名的文件,并追加随机扩展名。加密机制如下:a.生成32位和8位字节的随机字符,作为Salsa20的密钥和向量。b.生成一对RSA密钥,记为SessionPrvKey和SessionPubKey,对于私钥SessionPrvKey使用上述生成的密钥和向量进行Salsa20加密。公钥SessionPubKey和加密后的SessionPrvKey都保存在注册表里。c.用攻击者的公钥加密前面生成的Salsa20的密钥和向量。d.对每个被加密的文件,生成32和8位字节随机字符,作为Salsa20的密钥和向量。以此加密文件,且每个文件的Salsa20的密钥和向量都不同。对这个Salsa20的密钥和向量使用公钥SessionPubKey加密。unC91数据恢复

  

 unC91数据恢复

本站文章均为91数据恢复专业数据团队根据公司业务案例,数据恢复工作中整理发表,部分内容摘自权威资料,书籍,或网络原创文章,如有版权纠纷或者违规问题,请即刻联系我们删除,我们欢迎您分享,引用和转载,我们谢绝直接复制和抄袭,感谢!

联络方式:

客服热线:400-1050-918

技术顾问:17620159934

邮箱:91huifu@91huifu.com

微信公众号
售前工程师1
售前工程师2