勒索病毒globelmposter

2024年2月9日发(作者：)

勒索病毒Globelmposter变种

近日，勒索病毒GlobeImposter家族最新变种正在国内传播，受影响的系统，数据库文件被加密破坏，病毒将加密后的文件重命名为.TRUE扩展名，并通过邮件来告知受害者付款方式。由于Globelmposter采用RSA2048算法加密，目前该勒索样本加密的文件无解密工具。

此次爆发的GlobeImposter家族的变种，主要以国内公共机构服务器为主要攻击对象，对业务连续性造成严重影响。Globelmposter勒索病毒3.0变种，受影响的系统，数据库文件被加密破坏，病毒将加密后的文件后缀改以*4444结尾，并要求用户通过邮件沟通赎金跟解密密钥等。Globelmposter 3.0勒索病毒攻击，攻击手法极其丰富，可以通过社会工程，RDP爆破，恶意程序捆绑等方式进行传播，其加密的后缀名以*4444结尾，文件被加密后会被加上以下后缀：

Ox4444、

China4444、

Help4444、

Rat4444 、

Tiger4444 、

Rabbit4444 、

Dragon4444 、

Snake4444 、

Horse4444、

Goat4444 、

Monkey4444 、

Rooster4444、

Dog4444。

由于Globelmposter 3.0采用RSA2048算法加密，目前该勒索样本加密的文件暂无解密工具，文件被加密后会被加上*4444系列后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES”的txt文件，显示受害者的个人ID序列号以及黑客的联系方式等。

病毒分析

Globelmposter家族首次出现在2017年5月，主要传播方式是通过向特定的用户发送垃圾邮件进行传播。此次发现的Globelmposter家族最新变种，通过RSA算法进行加密，先通过CryptGenRandom随机生成一组密钥对，然后使用样本中的硬编码生成相应的私钥，最后生成受害用户的个人ID序列号，加密相应的文件夹目录和扩展名，并将生成的个人ID序列号写入到加密文件末尾，相应的加密文件夹目录，如下图所示：

同时样本还会进行自我拷贝操作，将自身拷贝到%APPDATA%目录下：

病毒影响

用户感染相应的Globelmposter变种之后，样本会加密相应的文件夹下的文件，并生成how_to_back_的超文本文件，如图所示：

生成的超文件文件，显示了个人的ID序列号，以及恶意软件作者的联系方式:

值得注意的是，用户一旦出现Globelmposter变种感染，黑客会以工具辅助手工的方式，对内网其他机器进行渗透，在内网扩散。

解决方案：

病毒检测

病毒防御

1、不要点击来源不明的邮件以及附件；

2、及时给电脑打补丁，修复漏洞；及时修复系统漏洞和应用漏洞，更新Flash、Java、以及一系列Web服务程序的安全漏洞补丁。

3、对重要的数据文件定期进行非本地备份；

4、安装专业的终端/服务器安全防护软件；

5、Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），因此建议用户关闭相应的RDP(远程桌面协议）；

6、尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等；禁用Office宏。

7、避免弱口令，系统登录密码尽量采用字母大小写+数字+特殊符号混合组成，且密码位数应足够长，并在登陆安全策略里限制登录失败次数，定期更换系统登录密码，多台机器不要使用相同或相似的系统登录密码。

8、设置共享文件夹的权限为只读。

9、SQL server和Oracle数据库密码设置复杂化，并修改默认的端口。