相关阅读:GlobeImposter勒索病毒信息链接
一、样本信息
文件名:Globelmposter.exe
MD5:a7d182ac1e20754e3881f7471954fcd4
SHA256:18074994c8e38f9682434fcde0122dcb8d379ab5a046c06ff2acf72b1aea13f1
二、样本分析
1. 勒索信息
Globelmposter留下的勒索信息中唯有PERSONAL ID针对每个用户进行生成,而PERSONAL ID由以下几个部分组成:
用户非对称密钥对(RSA 1024,随机生成);
加密用户密钥对的对称加密密钥(AES,随机生成);
字符串“Hermes865”;
字符串“HOW TO BACK YOUR FILES.exe”;
用户机器的计算机名;
字符串“local”;
用户非对称密钥(user RSA)和字符串计算机名等信息由随机对称密钥(AES)加密,最后两者通过Globelmposter中携带的攻击者公钥进行加密,最终得到用户 ID(PERSONAL ID),共512字节。
接着在用户目录下生成勒索信息文件“HOW TO BACK YOUR FILES”,该文件落地前内嵌于病毒中,生成文件后将用户ID写入其中,位于标志(60字节的’\xef’)后方。
2. 注册表修改
修改注册表以禁用家庭组和Windows Defender。
添加“RunOnce”表项键值“WindowsUpdateCheck”以开机自启动一次,即使程序异常退出,下次开机重启将再次执行;如果成功执行到最后,病毒退出前将删除该键值。
3. 关闭数据库服务
执行病毒内嵌的bat脚本,删除卷影,关闭机器上的数据库服务,以免加密相关文件失败。
4. 文件遍历
开始文件遍历前,病毒首先将所有可能存在的空闲卷进行挂载,以便于获取盘符进行文件的遍历与加密。
病毒的磁盘加密对象是除CD-ROM、RAM类型的其他磁盘,另外还包括dan当前机器可访问的网络共享资源,排除sysvol、tsclient、vboxsvr相关的目录,以免影响系统运行。
遍历并加密文件时,过滤掉以下文件或目录。
其中ids.txt作为Globelmposter的日志记录文件,包括用户ID的base64编码值,以及遍历目录和文件加密时出现的错误日志。
获取文件的属性,对不同类型文件执行不同操作:若为readonly文件,去除其只读属性;若为文件夹,则进行记录,以递归遍历文件;若为文档文件则根据其类型进行再次过滤。
遍历到文档文件时,通过后缀名“.Hermes865”过滤掉已加密的文件以及以下类型的文件:
dll、lnk、ini、sys;
除此之外的可写入文件都将被加密。
5. 文件加密
病毒在加密时为文件添加后缀名“.Hermes865”,并为每个待加密文件生成一个文件加密对称密钥(AES),用于加密文件内容。其加密部分功能代码如下:
其加密流程及被加密后文件结构如下图所示:
针对多种指定类型(文件类型附于文末)的文件,如果文件大小大于20Mb,Globelmposter将每20Mb作为一个片段,将其中前2Mb的内容映射到内存使用文件加密密钥进行加密,再取消映射完成内容加密,如此循环直到文件结束。
而对于其余的文档文件,程序只会对前2Mb和尾部不足20Mb(整除则尾部不加密)的部分进行加密。
6. 清除日志
执行病毒内嵌的bat脚本,以删除机器上的所有日志,消除痕迹。
7. 自我删除
删除Globelmposter可执行文件。
附录:加密文件类型
会被加密文件后缀.txt 