近日,江民科技反病毒實驗室監測到GlobeImposter勒索病毒在我國傳播,此次流行的病毒為“Globelmposter”的新變種。該勒索病毒主要通過釣魚郵件傳播,用戶點擊附件中的腳本後,會自動下載相關勒索樣本。勒索病毒運行後會將磁盤大部分文件加密,且無法還原。與以往不同的是,此次變種會通過郵件來告知受害者付款方式,勒索贖金從1到10比特幣不等。GlobeImposter系列病毒危害較高,請廣大用戶提高警惕。
病毒名稱: |
TrojanRansom.Globelmpster.a |
病毒類型: |
病毒/勒索軟件 |
MD5: |
2ca016fa98dd5227625befe9edfaba98 |
傳播途徑: |
郵件,局域網 |
影響系統: |
Windows XP, Windows Server 2003,Windows vista,Windows 7,Windows 8, Windows10等。 |
GLOBEIMPOSTER 通過發送惡意的電子郵件傳播, 郵件附件為zip格式的壓縮包,其中包含js的惡意腳本,腳本運行後將下載病毒執行,病毒以nsis格式打包, 運行後安裝指定的nsis腳本運行, 病毒不會釋放可以的PE文件,而釋放二進製文件,再二進製文件中包含shellcode,將shellcode加載到內存中運行,病毒加密宿主機器上的文件, 並將為加密後的文件添加.doc後綴名,釋放html文件提示用戶付費解密。
利用NullSoft腳本安裝系統(NSIS),對用戶文件進行加密。
文件系統變化:
加密指定的後綴的文件。
系統註冊表變化:
修改註冊表_啟動項
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck
1、惡意軟件通過惡意電子郵件傳播,附帶ZIP文件,其中包含JavaScript Downloader
2、連接到域www.zhaksylyk.kz的TCP流建議惡意JavaScript檢索GlobalImposter Ransomware二進製文件
3、該病毒文件是一個NullSoft腳本安裝系統(NSIS),惡意軟件使用NSIS來解壓縮其有效負載並將其加載到內存中。它首先提取一個Dll文件並將其放入C:\ Windows \ System32,然後調用LoadLibraryA將其加載到內存中,並繼續執行下一階段的執行流程。GlobeImposter不會創建可由AV掃描的任何PE文件,但會創建一個名為“LGU”的二進製文件,並將其寫入TEMP文件夾。“LGU”文
件包含一個shellcode,它將由NullSoft腳本方式執行。
4、在位於shellcode入口點的小代碼存根解碼。在執行這個存根的過程中,它將嘗試定位編碼shellcode的開頭,該開頭是由值為0xDEADBEEF的DWORD值標記的。
5、解碼存根將強制一個32位密鑰,稍後將用於對解碼的shellcode的其餘部分進行異或。它通過嘗試在0x00到0xFFFFFFFF中找到一個值,當它與第一條解碼指令(偏移量0xC)異或時,給出第一個純指令(偏移量0x8)的值。
6、使用AES256解密GlobeImposter解壓縮的PE內存,創建暫停的子進程,並在暫停的進程中使用進程鏤空(又名RunPE),以運行解壓縮的可執行文件。
7、加密的文件然後按以下格式重命名:filename.doc
8、當完成加密所有文件時,會在瀏覽器中向受害者顯示一條勒索消息,提醒受害者支付贖金。
安裝江民防病毒軟件的用戶,升級至最新病毒庫即可主動發現攔截GlobeImposter系列勒索病毒。
1. 建立良好的安全習慣,不打開可疑郵件和可疑網站。
2. 備份好電腦的重要資料和文檔,定期檢查內部的備份機制是否正常運行。
3. 不要隨意接收聊天工具上傳送的文件以及打開發過來的網站鏈接。
4. 使用移動介質時最好使用鼠標右鍵打開使用,必要時先要進行掃描。
5. 現在有很多利用系統漏洞傳播的病毒,所以給系統打全補丁也很關鍵。
6. 安裝專業的防毒軟件併升級到最新版本,並開啟實時監控功能。
7. 為本機管理員賬號設置較為複雜的密碼,預防病毒通過密碼猜測進行傳播,最好是數字與字母組合的密碼。
8. 不要從不可靠的渠道下載軟件,因為這些軟件很可能是帶有病毒的。 |