用户
搜索

该用户从未签到

安全团队

Rank: 7Rank: 7Rank: 7

20

主题

43

帖子

324

魔法币
收听
0
粉丝
0
注册时间
2020-7-7
发表于 2021-3-9 17:44:14 415452
本帖最后由 深信服千里目安全实验室 于 2021-3-9 17:44 编辑

背景概述
近日,深信服终端安全团队捕获到了Globelmposter家族的又一新变种,经分析其代码结构与以往变种有很大变化,但其行为流程却具有鲜明的Globelmposter特点,且在攻击现场发现的样本母体被黑客命名为“5.1.exe”,因此我们也将此次发现的变种定义为Globelmposter 5.1变种
图片16.png

Globelmposter家族首次出现在2017年5月份,自问世以来一直非常活跃,并相继出现了2.0、3.0、4.0等版本,更是囊括了“十二生肖”、“十二主神”、C*H等具有鲜明特色的加密文件后缀。C*H变种对比,5.1变种的代码结构进行了大幅度改动
图片1.png

技术分析
病毒运行后会将自身复制到%LOCALAPPDATA%或%APPDATA%目录
图片2.png

进行持久化操作,设置自启动项,注册表项为
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\LicChk,实现开机自启动,如果在加密过程中主机关机,病毒在系统重启后能够自动运行并继续加密:
图片3.png

解密出豁免的文件后缀:
图片4.png

解密出豁免的文件及文件夹名:
图片5.png

解密出勒索信息文件名:
图片6.png

C:\Users\Public目录写入ID文件:
图片7.png

文件内容如下:
图片8.png

加密3种类型的磁盘:可移动磁盘,固定磁盘,网络磁盘。
图片9.png

执行命令删除磁盘卷影,并删除注册表中Terminal Server Client”中的键值,删除远程桌面连接信息文件default.rdp,还会通过wevtutil.exe cl的命令清除日志的相关信息:
图片10.png

加密文件,加密后缀为”.IQ0005”:
图片11.png

写入勒索信息文件:
图片12.png

勒索信息内容如下:
图片13.png

勒索结束后病毒文件自删除:
图片14.png

深信服安全产品解决方案
1. 深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2. 深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁
图片15.png
[size=10.5000pt]
3. 深信服安全产品集成深信服SAVE人工智能检测引擎,拥有强大的泛化能力,精准防御未知病毒;
4. 深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速提高安全能力;针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

基础加固
深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给系统和应用打补丁,修复常见高危漏洞;
2、对重要的数据文件定期进行非本地备份;
3、不要点击来源不明的邮件附件,不从不明网站下载软件;
4、尽量关闭不必要的文件共享权限;
5、更改主机账户和数据库密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃;
6、如果业务上无需使用RDP的,建议关闭RDP功能,并尽量不要对外网映射RDP端口和数据库端口。

咨询与服务
您可以通过以下方式联系我们,获取关于勒索的免费咨询及支持服务:
1、拨打电话400-630-6430转6号线(已开通勒索软件专线)
2、关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3、PC端访问深信服社区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

上班前看一下帖子是有好处的,先自查了
使用道具 举报 回复
发表于 2021-3-10 10:28:00
白帽子是假的 发表于 2021-3-10 08:24
上班前看一下帖子是有好处的,先自查了

说的很对!
使用道具 举报 回复
看完了  这文章 看了老半天呢
使用道具 举报 回复
发表于 2021-3-11 20:15:06
感谢分享
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册