安全路透社
当前位置:安全路透社 > 安全客 > 正文

【病毒分析】新勒索病毒变种GlobeImposter(江湖骗子)分析

http://p0.qhimg.com/t01d510de5f9c7c305f.jpg

引子


在过去的几天里,FortiGuard实验室捕捉到一些JS脚本,基于我的分析,这些脚本被用来传播新勒索病毒变种GlobeImposter(江湖骗子),我选择了其中一个文件并进行了快速分析,我分析的病毒变种版本为726。图1展示了我们捕捉到的JS文件的一部分,可以看到以“IMG_”开头的文件都是GlobeImposter病毒的下载程序。

图5 杀掉匹配的进程

随后在文件被加密的文件夹下会产生一个HTML文件,该文件随后会被清除,这个HTML文件告知受害者系统文件已被加密并提供了如何支付以获取解密文件的方法,这个HTML文件包含一个私有ID和该可执行程序的解密信息。当你访问支付页面时这个私有ID会发往服务器,攻击者通过这个ID来识别你并生成解密密钥,图6是这个HTML文件内容的截图:

图10 打开RECOVER-FILES-726.html文件

解决方法


通过以上分析我们了解了GlobeImposter病毒在受害者主机上下载并加密文件的过程,我们也发现很多JS样本正在扩散该勒索病毒,由于该病毒使用了2048位的RSA算法来加密文件因此在没有解密密钥的情况下很难解密那些被加密的文件。

1)JS文件中用于下载GlobeImposter病毒的URL已经被FortiGuard的web拦截服务列为“恶意网站“

2)JS文件被FortiGuard的反病毒服务识别为JS/GlobeImposter.A!tr

3)下载的GlobeImposter病毒被FortiGuard的反病毒服务识别为W32/GlobeImposter.A!tr

病毒样本


URL:

hxxp://wendybull.com.au/87wefhi??JWbXSIl=JWbXSIl

样本SHA256:

IMG_8798.js

3328B73EF04DEA21145186F24C300B9D727C855B2A4B3FC3FBC2EDC793275EEA

87wefhi.txt.exe

10AA60F4757637B6B934C8A4DFF16C52A6D1D24297A5FFFDF846D32F55155BE0


原文链接:http://blog.fortinet.com/2017/08/05/analysis-of-new-globeimposter-ransomware-variant

未经允许不得转载:安全路透社 » 【病毒分析】新勒索病毒变种GlobeImposter(江湖骗子)分析

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册