作者: 国瑞IT
来源: http://www.grit.com.cn
浏览:
一、简述
近日,国瑞IT安全服务中心在用户设备上捕获Persephone865qq.exe病毒样本,经分析此病毒为GlobeImposter2.0(十二主神2.0)勒索病毒家族变种,使用非对称加密文件,样本产生时期为2019年10月份左右,是当前较新的版本,加密文件后缀以.Persephone865qq文件结尾,并留下信息向受害者索要赎金。
为了更安全帮助客户解决被加密问题,以及更全面了解病毒运行机制,国瑞IT安全服务中心对样本做了逆向分析,相信本类型其他英文名+865qq病毒的运行机制也大致相近,以供相关参考。
样本信息:
文件: C:\Users\xxx\Desktop\Persephone865qq.exe
大小: 213504 bytes
修改时间: 2019年10月10日, 18:34:48
MD5: 5B4820440FA43051DFA1BCC53319E32B
SHA1: DF5F2AA8E50208E0D62496EABCA312D038B6B2CA
CRC32: C10E3BB9
二、病毒特征及危害:
1.病毒运行后会关闭保护和数据库进程。
2.全盘加密指定类型文件。
3.创建勒索信息文件。
4.自删除等。
三、病毒运行机制分析
3.1 主线程分析
准备工作:如果路径前两个字节是“\\” 则拷贝自身到临时目录并运行
准备工作:提升进程权限,为以后结束数据库相关进程和加密其文件做准备
遍历文件加密文件分为两种情况,如下:
① .带命令行参数的情况,如果参数是文件夹 则加入链表否则直接加密
②.不带命令行参数的情况 首先会禁用Windows defender微软安全软件,防止病毒被其删除、添加自启动、删除磁盘卷影 停止数据库服务、挂载卷、遍历卷和网络共享资源并加入链表
首先禁用Windows defender微软安全软件:
添加自启动,用于持久化
删除磁盘卷影 停止数据库服务,为后期加密数据库文件做准备
挂载卷,遍历磁盘,把之前遍历的卷并加入链表
遍历网络共享资源并加入链表
3.2 子线程一(遍历链表中所有卷 创建线程处理)
等待任意线程结束 再次遍历链表 将新添加的文件夹路径创建线程处理
3.3子线程二
遍历文件夹 排除特定文件文件夹 并加密文件
排除自身生成的文件和特定文件目录
去掉文件只读属性
跳过特定后缀和已经加密过的
以源文件名加上勒索后缀,重命名,跳过空文件
将文件大小添加0x300字节用于保存密钥等数据
加密文件主要逻辑
收尾工作:线程一结束 即所有文件处理完毕。
删除自启动
删除磁盘卷影 删除远程桌面连接信息 删除系统日志
最后调用cmd自删除
四、勒索提示
病毒会在自身文件夹中创建ids.txt文件用于保存错误日志 密钥等信息
并且会创建HOW TO BACK YOUR FILES.exe文件。
五、安全建议
1.现阶段勒索病毒都会使用RSA等非对称加密,所以用户要定期对重要文件离线备份。
2.打好系统安全补丁,尤其是一些重要的,如MS17010等。
3.不要点击来源不明的邮件附件,不从不明网站下载软件。
4.使用高强度密码,避免黑客利用弱口令暴力破解
5.尽量关闭不必要的文件共享权限,尽量关闭445,135,139,3389等不必要的端口。
6.安装杀毒软件,及时更新病毒库版本
7.加强内部人员网络安全意识培训,降低安全风险。
24小时应急响应热线:15021662155 / 15611033457