GlobeImposter最新变种来袭！应急响应手册：病毒介绍、详细分析和预防策略

（一）  背景介绍

2018年初，国内一省级儿童医院感染Globelmposter勒索病毒，随后在2019年3月，GlobeImposter勒索病毒家族又发起了大规模攻击，在这次攻击中，医疗行业中多家大型医院受到不同程度的感染。而就在刚刚到来的7月初，Globelmposter病毒的新变种再次针对国内医院发起了强势攻击，且医院大多位于一线城市。除了被重点攻击的医院，这种臭名昭著的病毒还针对传统行业、教育机构、企事业单位、及政府部门进行入侵，通过此次变种被发现和对变种的分析，可认为Globelmposter勒索软件还在发展，攻击还将持续，并且大有全国蔓延爆发趋势。

（二）  病毒介绍

GlobeImposter作为目前国内最流行的勒索病毒之一，其最初的爆发轨迹可追溯到前年。而从2018年7月下旬，GlobeImposter家族已经呈大规模爆发之势。通过2017和2018两个年度的勒索病毒疫情报告，就能明显看出GlobeImposter流行度的变化，在所有流行勒索病毒中的占比中，该家族由3.2%快速跃升至第二位的24.8%。

两年以来，GlobeImposter勒索软件已经有了几代变迁，每次都会改变加密文件后缀。

GlobeImposterV2.0：.GOTHAM；*.YAYA；*.CHAK；*.GRANNY；*.SKUNK；*.TRUE；*.SEXY;*.MAKGR；*.BIG1；*.LIN；*.BIIT;*.reserve；*.BUNNY；*.FREEMAN；

GlobeImposterV3.0：Ox4444、China4444、Help4444、Rat4444、Tiger4444、Rabbit4444、Dragon4444 、Snake4444、Horse4444、Goat4444、Monkey4444、Rooster4444、Dog4444等，格式多为二生肖的英文名+数字；

 GlobeImposterV4.0：.fuck，.auchentoshan；

 GlobeImposterV5.0：.Benjamin_Jack2811@aol.com；

而此次爆发之前，该家族中活跃度最高的系列变种为生肖系列，该系列的变种会加密磁盘文件并篡改后缀名“[生肖]+4444”的形式。但在本次发现的新变种中，GlobeImposter变种病毒采用了部分古希腊十二神的英文名+数字作为加密文件后缀(如：Aphrodite666、Ares666)，下图为本次Globelmposter变种后缀名所涉及的古希腊十二神的命名。

由过往的经验看来，Globelmposter勒索新变种还将持续肆虐一段时间。虽目前已经对攻击活动进行应急响应处理，但由于Globelmposter勒索软件使用了RSA2048算法进行文件加密，目前暂无解密工具，而市面上公开宣传可以解密的大多为“黑中介”，谨防上当受骗。

（三）  样本分析

以最新的变种为例，首先，本次攻击活动的Globelmposter十二神变种样本在运行后，首先如往常一样会提升运行权限。

  并禁用Windows defender

 执行一系列常规持久化操作，如修改注册表，添加自启动项等。

      并调用CMD命令，停止并禁用相关数据库服务。

      在每个目录下生成.DF7ADA61E0284DDD4F1E文件和勒索信，内容为加密后的密钥，

     开始遍历磁盘文件：

      同时排除文件和后缀名如下：

    windows、bootmgr、pagefile.sys、boot、ids.txt、NTUSER.DAT、PerfLogs

     “.dll”、”.lnk”、”.ini”、”.sys”

      对文件进行加密，加密后的文件后缀为Ares666

     加密完成之后调用CMD命令，删除卷影，日志和RDP记录

      最后执行自删除操作

      可见，生成的勒索信“HOW TO BACK YOURFILES.txt”如下所示。

新的变种仅是变化了后缀名，而其代码部分变化并不大。尤其是主体功能部分代码与之前版本比较，基本没有变化。尽管各代变种的传播方式存在一些差异，但GlobeImposter依然主要通过RDP弱口令爆破入侵服务器，成功入侵一台设备之后，黑客通常会通过这台设备做跳板，再次攻击内网其它设备。当拿下一定规模的设备后，黑客便会通过一些脚本和工具半自动的将勒索病毒投放到被拿下的机器中，因此GlobeImposter经常会出现成规模的集中爆发情况。截止目前，遭到GlobeImposter勒索软件的任何一代攻击后，都没有有效的恢复文件的方法，所以最大程度降低攻击损失的方法就是避免被攻击。

（四）  总结

无论是“希腊十二神系列”还是“生肖系列”，甚至是之前的任何一种变种，针对服务器的勒索攻击依然是当下GlobeImposter勒索病毒家族的一个主要方向，企业需要加强自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和远程桌面的管理，以应对勒索病毒的威胁，在此给各位管理员及普通电脑用户一些建议：

1. 多台机器，不要使用相同的账号和口令；

2. 登录口令要有足够的长度和复杂性，并定期更换登录口令；

3. 不要点击来源不明的邮件以及附件；

4. 定期检测系统和软件中的安全漏洞，及时打上补丁；

5. 重要资料的共享文件夹应设置访问权限控制，并进行定期备份；

6. Globelmposter勒索软件之前的变种会利用RDP(远程桌面协议），因此建议用户关闭相应的RDP(远程桌面协议）；

7. 尽量关闭不必要的端口，如 445、135，139 等，对 3389、5900 等端口可进行白名单配置，只允许白名单内的 IP 连接登陆；

8. 避免使用弱口令，采用复杂密码，设置登录失败次数限制，防止暴力破解攻击。

预防是网络安全最行之有效的方法，在网络管理上要提高安全意识，不要运行来历不明的软件，及时更新操作系统安全补丁，防止病毒利用漏洞传播。建议安装经纬信安的戍将内源威胁防御平台，事先检查漏洞和开放的端口服务，实时感知和防御勒索病毒，特别是横向移动、变种、未知攻击的病毒。戍将具有预警、感知、诱捕和联动的功能，且旁路部署，适应性强。

（参考素材）

1、紧急预警：Globelmposter勒索病毒全国蔓延，大型医院已中招，企事业单位一定要做好这几点措施；

2、家医院再惨遭Globelmposter变种勒索攻击，产业链背后病毒制作商仍迷雾重重；

3、勒索病毒Globelmposter变种来袭，深信服提供检测与防御解决方案。