背景概述

近日，深信服終端安全團隊捕獲到了Globelmposter家族的又一新變種，經分析其程式碼結構與以往變種有很大變化，但其行為流程卻具有鮮明的Globelmposter特點，且在攻擊現場發現的樣本母體被駭客命名為“5.1.exe”，因此我們也將此次發現的變種定義為Globelmposter 5.1變種。

Globelmposter家族首次出現在2017年5月份，自問世以來一直非常活躍，並相繼出現了2.0、3.0、4.0等版本，更是囊括了“十二生肖”、“十二主神”、C*H等具有鮮明特色的加密檔案字尾。與C*H變種對比，5.1變種的程式碼結構進行了大幅度改動：

技術分析

病毒執行後會將自身複製到%LOCALAPPDATA%或%APPDATA%目錄：

進行持久化操作，設定自啟動項，登錄檔項為

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\LicChk，實現開機自啟動，如果在加密過程中主機關機，病毒在系統重啟後能夠自動執行並繼續加密：

解密出豁免的檔案字尾：

解密出豁免的檔案及資料夾名：

解密出勒索資訊檔名：

在C:\Users\Public目錄寫入ID檔案：

檔案內容如下：

加密3種型別的磁碟：可移動磁碟，固定磁碟，網路磁碟。

執行命令刪除磁碟卷影，並刪除登錄檔中“Terminal Server Client”中的鍵值，刪除遠端桌面連線資訊檔案default.rdp，還會透過wevtutil.exe cl的命令清除日誌的相關資訊：

加密檔案，加密字尾為”.IQ0005”：

寫入勒索資訊檔案：

勒索資訊內容如下：

勒索結束後病毒檔案自刪除：

深信服安全產品解決方案

1. 深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺。

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知平臺、下一代防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅：

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4. 深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力；針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

基礎加固

深信服安全團隊再次提醒廣大使用者，勒索病毒以防為主，目前大部分勒索病毒加密後的檔案都無法解密，注意日常防範措施：

1、及時給系統和應用打補丁，修復常見高危漏洞；

2、對重要的資料檔案定期進行非本地備份；

3、不要點選來源不明的郵件附件，不從不明網站下載軟體；

4、儘量關閉不必要的檔案共享許可權；

5、更改主機賬戶和資料庫密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃；

6、如果業務上無需使用RDP的，建議關閉RDP功能，並儘量不要對外網對映RDP埠和資料庫埠。

諮詢與服務

您可以透過以下方式聯絡我們，獲取關於該勒索的免費諮詢及支援服務：

1、撥打電話400-630-6430轉6號線（已開通勒索軟體專線）

2、關注【深信服技術服務】微信公眾號，選擇“智慧服務”選單，進行諮詢

3、PC端訪問深信服社群 bbs.sangfor.com.cn，選擇右側智慧客服，進行諮詢