GlobeImposter2.0再出新變種，疑似利用PsExec內網傳播

近日，深信服安全團隊發現了GlobeImposter2.0勒索病毒新變種，該變種疑似利用微軟官網工具PsExec進行內網傳播並使用了新的勒索介面。截止目前，國內已在政府單位、建築地產等行業發現多個感染案例。

此外，我們觀察到，國外使用者也同時受到該變種侵害，Twitter安全研究賬號GrujaRS同步發現該變種有活躍現象。

本次發現的勒索病毒正是GlobeImposter2.0家族的新變種。勒索介面如下：

該變種檔案加密字尾一共有21個：

.Erenahen,.bobelectron，.ciphered，.tabufa，.saveyoudata，.saveyourdata,.hotprice8,.666decrypt666,.1ibertoned,.unlockassistant,.shelbyboom,AsabHadare,.helpinc,.Coockish,.rescuerr,.supporthelpgood,.decrypt019,.Saveyourdata,.decrypt2019,.helprobot,.telcomsupp2351,.Gamgamga

該變種使用的黑客郵箱有：

bobelectron@cock.li

bobelectron@tutanota.com

Erenahen@cock.li

Kishemez@tutano.com

GlobeImposter家族簡介

GlobeImposter是近期非常活躍的勒索家族，首次出現在2017年5月份，此後，不斷出現新的版本和變種；今年七月，更有“十二主神”系列爆發，國內醫療行業深受威脅。深信服安全團隊一直持續關注並跟蹤此勒索病毒家族，下圖是深信服跟蹤GlobeImposter勒索病毒演進的時間軸：

GlobeImposter2.0最新變種詳細分析

在被勒索的主機中，發現勒索時間點生成了PsExec服務以及3個指令碼檔案：

PsExec是微軟釋出的一個輕量級telnet替代工具，使用者無需手動安裝客戶端軟體即可執行其他系統上的程式，並且可以獲得與控制檯應用程式相當的完全互動性。微軟官方介紹了該工具的安裝和使用方法，並且提醒使用者該工具會被惡意軟體利用。

指令碼檔案內容如下，其功能為結束mssqlserver以及反病毒軟體：

樣本分析

解密出內建rsa公鑰資訊，計算內建rsa公鑰的sha256雜湊，使用內建rsa公鑰的sha256雜湊作為aes金鑰解密出加密檔案字尾以及資訊提示檔名稱：

解密出資料夾白名單，字尾名白名單。詳細資料夾名稱如下：

Windows, Microsoft, Microsoft Help, Windows App Certification Kit, windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Nindows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, windows Sidebar, WindowsPowerShel1, VIDIA Corporation, Microsoft. NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr. Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData

獲取%localappdata%者%appdata%目錄，將自身拷貝過去。新增到Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce下的BrowserUpdateCheck作為啟動項，其會進行檢測是否已被感染：

然後其會在使用者的%pulbic%或者%ALLUSERPROFILE%下建立內建rsa公鑰的sha256雜湊為名稱的檔案，其中儲存著使用者ID資訊以及生成的rsa公鑰等資訊：

再對使用者磁碟進行遍歷，包括移動磁碟，固定磁碟以及網路磁碟(基本上是共享或者對映)然後對檔案進行加密。

加密完之後會在使用者temp目錄下生成tmp.bat用來刪除使用者磁碟卷影，遠端桌面連線資訊，刪除日誌資訊等：

然後建立一個cmd程式將自身刪除：

解決方案

針對已經出現勒索現象的使用者，由於暫時沒有解密工具，建議儘快對感染主機進行斷網隔離。深信服提醒廣大使用者儘快做好病毒檢測與防禦措施，防範該病毒家族的勒索攻擊。

病毒檢測查殺

1、深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺。

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2、深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品使用者可進行病毒檢測，如圖所示：

病毒防禦

深信服安全團隊再次提醒廣大使用者，勒索病毒以防為主，目前大部分勒索病毒加密後的檔案都無法解密，注意日常防範措施：

1、及時給電腦打補丁，修復漏洞。

2、對重要的資料檔案定期進行非本地備份。

3、不要點選來源不明的郵件附件，不從不明網站下載軟體。

4、儘量關閉不必要的檔案共享許可權。

5、更改賬戶密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。

6、如果業務上無需使用RDP的，建議關閉RDP。當出現此類事件時，推薦使用深信服防火牆，或者終端檢測響應平臺（EDR）的微隔離功能對3389等埠進行封堵，防止擴散！

7、深信服防火牆、終端檢測響應平臺（EDR）均有防爆破功能，防火牆開啟此功能並啟用11080051、11080027、11080016規則，EDR開啟防爆破功能可進行防禦。

8、深信服防火牆客戶，建議升級到AF805版本，並開啟人工智慧引擎Save，以達到最好的防禦效果。

9、使用深信服安全產品，接入安全雲腦，使用雲查服務可以即時檢測防禦新威脅。

10、深信服推出安全運營服務，通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力，針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

最後，建議企業對全網進行一次安全檢查和防毒掃描，加強防護工作。推薦使用深信服安全感知+防火牆+EDR，對內網進行感知、查殺和防護。