再看Globe家族勒索病毒

最新推荐文章于 2024-05-13 11:45:52 发布
最新推荐文章于 2024-05-13 11:45:52 发布
阅读量504 收藏 1
点赞数
文章标签: 反病毒 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43781139/article/details/114653601
版权

 

0x00 前言准备

病毒类别:GlobeImposter勒索病毒

实验环境:win10

分析工具:火绒剑

IDA

x32dbg

die

 

我们之前分析过了一个Globe家族的勒索病毒,最近又遇到一个,也感觉之前那个分析的不够仔细,今天我们重新看看这个家族的勒索病毒。

 

0x01 样本基本信息

病毒样本可从微步云沙箱里获取

 

 

0x02 虚拟机尝试运行

1、首先虚拟机打个快照,方便我们运行木马

2、网络环境一定要注意断网,虚拟机卸载虚拟网卡即可

尝试运行病毒文件

发现文件已经被加密了

作者留下的解密信息

 

 

0x03 行为分析

用火绒剑对病毒文件进行监控,我改名成了tttt

可以看到抓到了很多动作,我们看看有什么危险行为

添加自启动项

写入文件

自身文件写入系统

对文件进行加密相关操作

数据量太大,我们只能大致看一下,接下来我们用ida和dbg详细的逆向分析一下。

 

 

0x04 逆向分析

首先用die查壳,并查看基本信息

VC2013写的,32位的,没壳,我们用ida打开

start函数:

跟进9c6b

首先调用了GetModuleFileNameW,获取文件加载路径

然后调用两次8b19,这里静态跟过去代码很乱,可以尝试用动态调试

可以看到解密出了一个snake4444,这个就是加密文件的后缀,第二次解密时HOW TO···就是我们看到的那个解密信息文本,那8b19应该是个解密函数。

这一块是与堆栈有关的操作,可以不重点看。

看下面GetEnvironmentVariableW,这个API的作用是一个从调用该函数的进程的环境变量中返回指定的变量名值的函数,传参如下:

可以看到这里的目的主要是尝试获取LOCALAPPDATA,如果LOCALAPPDATA不存在则获取APPDATA环境变量,如果获取失败则退出进程,如果成功,则调用PathAddBackslashW,作用是在字符串的末尾添加反斜杠,以为路径创建正确的语法。

这里重视CopyFileW,如果找到LOCALAPPDATA,那么把文件拷贝过去,我们动态运行到这里,看看localappdata路径会不会有文件拷贝过来

我们看到121.exe已经复制过来了,接下来会进入9624函数

这里都是与注册表有关的函数,看一下subkey的值

这个函数是用来添加自启动项的

接着向下看,和上面一样的一个判断逻辑,我们直接动态运行观察对应文件夹

下面是一个循环,循环次数由v7,v8共同决定,v8由9B4B决定,参数v6是我们刚才public下文件的路径,跟进这个函数看看

这里都是于文件操作有关的函数,我们看一下,if后是GetLastError的分支,所以我们直接看else里面的代码。观察到由WriteFile函数,但前面的代码看不出什么,我们转到动态调试,看看能不能找到什么线索,主要是观察A116那个函数。

创建了一个文件

观察一下A116传入的参数,其中nullsub_1值得我们注意,其实我们在最开始就看到他了

只不过我们看不太出这是干什么,就先没管它,但它现在又用了,我们来看一下。我们先看一下它传入参数的时候是什么

很乱,不知道是啥,还在最开始就生成了,那我们可以想到是一种标识,也就是生成用户ID的,所以A116这个函数把用户ID,public路径名、加密后缀、勒索提示文件名都传进来了,我们进去看看

注意RsaGenKey,看来这里是用来进行生成rsa密钥对的

返回的值为v9,v9于9FDE有关,跟过去看看

果然,这里是rsa加密,传入的参数是我们的用户ID

这里小结一下9B4B在这个函数,经过我们的分析,发现这个函数的功能是在public文件夹下写一个文件,内容是经过rsa加密的用户ID。

我们接着向下看。

与堆栈有关的函数先不看,直接到99A3

这里是遍历磁盘的操作,然后根据遍历结果创建一个线程,我们跟到StartAddress里去看

很长的一个循环,甚至我都没截全。根据关键API来看,这里应该是在遍历文件了,根据分支来看,加密函数应该是8D8B,跟进去看也很长,但我们还是能发现蛛丝马迹,我们看到了9FDE,如果你之前改过名你就会发现,这是rsa加密函数

我们知道了这是加密函数,我们就进入线程在这里下断点,看看是不是在对文件进行加密

观察堆栈情况

多运行几次,在观察桌面,发现你桌面上的文件已经一个个被加密了。

这样我们分析完了99A3这个函数,是用来创建线程加密文件的,我们回到最开始接着看下一个9449

很方便观察,这是创建一个bat文件,我们可以动调跟到这看看路径(这其中我们也可以观察到,文件一直在被加密,这边也建议虚拟机里文件少一点,这动调加密时间太长了。。。我恰个饭回来断下了)

得到文件路径,我们去看看

文件已经创建还没有写入数据

这俩函数应该就是干完善bat的活,9305里有CreateProcessW,所以应该是启动bat,我们动调一下8919看看有没有向bat里写数据

执行完后大小发生变化,正如我们所想。但我们还不能打开看,显示有进程占用,接着往下看9509,就是return的那个函数

还在对bat进行一些操作,shellExecuteExW执行了一个删除操作,把自身删除了,可以看一下,此时桌面上没有病毒程序了,在往后程序就退出了,这个勒索病毒也执行完了。

我们现在可以查看一下bat文件

可以看一下,这个bat的功能是删除卷影副本,清除远程登入日志。

程序退出,我们对这个病毒的分析也结束了。

 

 

0x05 总结

最后总结一下这个病毒的行为:

1、将自身拷贝到LOCALAPPDATA路径

2、将自身加入自启动项

3、解密生成勒索的后缀和用户ID,用RSA加密后放到public文件夹下

4、开始遍历用户的磁盘,对除自身以外所有文件进行加密,并且生成勒索提示的信息

5、生成bat文件,删除卷影副本,清除登陆日志。

6、删除自身,程序退出。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

孤客浪子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
GlobeImposter勒索病毒新变种C4H东山再起
systemino的博客
05-21 3035
0x0 背景介绍 随着疫情的缓解,各地企业纷纷复工,而勒索病毒家族也并没有停下他们的脚步。近期深信服安全团队就收到多个地区关于用户主机遭受大面积.C4H勒索病毒入侵的求助,经过安全团队排查分析,确认为GlobeImposter勒索病毒家族的最新变种C4H。 GlobeImposter家族首次出现的时间为2017年5月,随后在2018与2019年出现不同系列的变种,如:以特征字符“.Dragon4444 .Snake4444 .Horse4444 .Goat4444 .Monkey4444”等的“十二生肖
Globe:ASCII Globe生成器
02-06
标题 "Globe:ASCII Globe生成器" 指的是一款基于文本终端的程序,它能够生成ASCII艺术形式的地球模型。这种程序通常用于在没有图形界面或者为了展示基础编程技术的环境中,用纯文本的方式展示出地球的外观。ASCII...
globe勒索病毒分析
weixin_43781139的博客
02-01 227
先上vt检测 很明显是个病毒 样本基本信息 沙箱检测 样本行为分析 1、注册表修改 4109b0里我们可以观察到,这里添加了注册表项,主要功能是禁用用户组和windefener 还在runonce里添加了项,即开机启动一次 2、关闭数据库服务 这里执行病毒内嵌的bat脚本,删除卷影,关闭机器上的数据库服务,以免加密相关文件失败。 3、对文件进行遍历 首先将可能空闲的卷进行挂载 加密磁盘种类小于等于4的 也就是除去rom和ram...
勒索软件漏洞?在不支付赎金的情况下解密文件
最新发布
小司机的奥拓
05-13 1162
在上一篇文章中,笔者对BianLian勒索软件进行了研究剖析,并且尝试模拟构建了一款针对BianLian勒索软件的解密工具,研究分析过程中,笔者感觉构建勒索软件的解密工具还挺有成就感,因此,笔者准备再找一款新兴勒索软件研究一下。
关于 GlobeImposter勒索病毒说明
攻城狮的博客
01-03 3043
GlobeImposter是近期非常活跃的勒索家族,首次出现在2017年5月份,此后,不断出现新的版本和变种。Globelmposter攻击手法都极其丰富, 通过垃圾邮件、社交工程、渗透扫描、RDP爆破、恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化。Globelmposter勒索病毒攻击目标,较多选择国内金蝶、用友软件的内置SQL Server或Oracle数据库作为承载点,向内网扩散,而...
网络安全之认识勒索病毒
学而思(xiejava的blog)
03-23 4934
勒索病毒,是一种新型电脑病毒,伴随数字货币兴起,主要以邮件、程序木马、网页挂马、服务器入侵、捆绑软件等多种形式进行传播,一旦感染将给用户带来无法估量的损失。如果遭受勒索病毒攻击,将会使绝大多数文件被加密算法加密,并添加一个特殊的后缀,用户无法读取原文件内容,被感染者一般无法解密,必须拿到解密的私钥才有可能无损还原被加密文件。而拿到解密的私钥,通常需要向攻击者支付高昂的赎金,这些赎金必须是通过数字货币支付,一般无法溯源,因此极易造成严重损失。
GlobeImposter
swordheart的博客
01-23 449
GlobeImposter 1、原理说明 1、病毒概述 Globelmposter家族首次发现在2017年5月份,这次发现的样本为Globelmposter家族的最新样本,没有内网传播功能,其加密文件使用.TECHNO扩展名,取消了勒索付款的比特币钱包地址以及回传信息的“洋葱”网络地址,而是直接通过邮件地址告知受害者联系,然后取得相应的付款方式,由于Globelmposter采用RSA2048算法加密,目前该勒索样本加密的文件无解密工具。 加密过程与以往的勒索软件并无太差差异,主要是差异在于..
globe.gl:使用ThreeJSWebGL进行Globe数据可视化的UI组件
02-05
地球仪 一个Web组件,用于以球形投影形式表示3维地球仪上的数据可视化层。 该库是插件的便利包装,并使用 / WebGL进行3D渲染。...const Globe = require('globe.gl'); 甚至 [removed][removed] 然后 const my
pan globe 温控器调节.rar
10-22
【标题】"pan globe 温控器调节.rar" 提供的是关于pan globe P900系列温控器的设定与调整方法,特别是涉及到PID(比例积分微分)控制的细节。这一系列的温控器在工业应用中广泛使用,用于精确控制各种环境或设备的...
Globe 3D地球仪 2.2
10-06
Globe 3D地球仪 2.2:探索世界的华丽界面与多功能应用》 Globe 3D地球仪 2.2是一款专为用户提供全方位地球信息的软件,以其独特的3D显示技术,将地球的全貌以细腻、生动的方式展现出来。这款应用不仅在视觉效果上...
react-globe.gl:使用ThreeJSWebGL实现Globe数据可视化的React组件
04-27
来源) 自定义图层( 来源) 世界人口( 来源) 最近的地震( 来源) 世界火山(来源) 美国出境国际航线( 来源) 海底电缆( 来源) 月球着陆点( 来源) 快速开始import Globe from 'react-globe.gl';或使用脚本...
Globeimposter勒索病毒新变种分析
qq_53058639的博客
07-23 109
可以预见,随着勒索病毒的发展,勒索病毒在未来几年仍然是企业面临的最大威胁之一,同时未来一定会有更多成熟的技术高超的黑客组织通过勒索病毒发起攻击。最后,在做好对勒索病毒防御的情况下,云安全中心还支持文件备份服务,能定期对指定文件进行备份,支持按时间按文件版本恢复,在极端情况发生而导致文件被加密时,能够通过文件恢复的方式找回,做到万无一失。其次,通过放置诱饵的方式,云安全中心实时捕捉可能的勒索病毒行为,尤其针对新型未知的勒索病毒,一旦识别到有异常加密行为发生,会立刻拦截同时通知用户进行排查,进行清理;
勒索病毒解密工具的汇总
热门推荐
LiBai'S BLOG
05-21 2万+
以下为日常搜集的勒索病毒解密工具的汇总。希望对大家有用! [777 Ransom] Trend Micro Ransomware解密器用来解密777勒索软件加密的文件 https://success.trendmicro.com/solution/1114221 [AES_NI Ransom] Rakhni解密器用来解密AES_NI勒索软件加密的文件 http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip [Age
勒索病毒:解密工具(总汇)
weixin_52834323的博客
11-10 1829
Trustezeb勒索软件解密工具]https://download.eset.com/com/eset/tools/decryptors/trustezeb_a/latest/esettrustezebadecoder.exe。勒索软件解密工具集:很多安全公司都提供了免费的勒索病毒解密工具下载,收集和整理相关下载地址,可以帮助我们了解和获取最新的勒索病毒解密工具。[CryptXXX V1/2/3/4/5勒索软件解密工具][TeslaCrypt V1/2/3/4勒索软件解密工具]
用友软件感染.locked勒索病毒数据解密恢复,.locked1勒索病毒解密恢复
weixin_shujuxf的博客
06-11 1380
一旦感染,.locked勒索病毒会对用户的数据文件进行加密,以限制用户对这些文件的访问权限。后缀.360勒索病毒,halo勒索病毒,.malox勒索病毒,mallox勒索病毒,xollam勒索病毒,faust勒索病毒,lockbit勒索病毒,locked1勒索病毒,locked勒索病毒,lockbit3.0勒索病毒,eight勒索病毒,locked勒索病毒,.[及时更新最新版本的软件:一般最新的版本的软件往往会在安全性上有会有更新提升,修复以往发现的软件漏洞,所以一般情况下建议保持软件的更新及时性。
深度解析勒索病毒GlobeImposter3.0变种 加解密流程全曝光
weixin_33686714的博客
09-10 2629
背景 GlobeImposter勒索病毒家族从2017年出现,持续活跃到现在,先后出现过V1.0和V2.0两个版本。最近该勒索病毒又更新了,虽然其整体代码框架变化不大,只做了些局部修改,我们也勉强将其称为V3.0版本。该版本仍然采用RSA和AES两种加密算法的结合,病毒本身也未添加横向传播渗透的能力。 相较之前版本,该版本对RSA公钥和加密文件后缀采用了...
学习笔记-GlobeImposter 勒索病毒分析
a2a_66666的博客
09-06 759
0x00前言 此样本是GlobeImposter勒索病毒早期版本,它会加密磁盘文件并篡改后缀名..doc。由于其采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件。 分析工具:DIE、火绒剑、IDA、OD 分析环境:Win7 x86 Vmware 0x01样本信息 File name:lGGtcrugME.exe File Size:155 KB File ...
globeimposter 解密工具_移除 GlobeImposter 2.0 病毒 (移除说明) - 2017 年 8月 更新
weixin_39534873的博客
12-21 753
GlobeImposter 2.0 可能劫持超过 30 个文件然后要求支付赎金GlobeImposter 2.0是一个复制了Globe 勒索病毒Globe Imposter新变种。这个恶意软件主要是针对以英语和俄语沟通的的计算机用户。它使用了AES 加密法对文件进行加密,并在HOW_OPEN_FILES.hta里提供了复原的指示。Globe 的第一份副本制作不佳,因此很快地就被 Emsis...
echarts globe
08-31
ECharts Globe是一款基于ECharts开发的可视化组件,用于展示全球地理信息数据。它提供了丰富的功能和交互方式,可以呈现地球、国家、城市等级别的数据,并支持多种图表类型,如散点图、气泡图、地图、线图等。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值