*865qq病毒样本分析报告

一、简述

近日，国瑞IT安全服务中心在用户设备上捕获Persephone865qq.exe病毒样本，经分析此病毒为GlobeImposter2.0(十二主神2.0)勒索病毒家族变种，使用非对称加密文件，样本产生时期为2019年10月份左右，是当前较新的版本，加密文件后缀以.Persephone865qq文件结尾，并留下信息向受害者索要赎金。

为了更安全帮助客户解决被加密问题，以及更全面了解病毒运行机制，国瑞IT安全服务中心对样本做了逆向分析，相信本类型其他英文名+865qq病毒的运行机制也大致相近，以供相关参考。

样本信息：

文件: C:\Users\xxx\Desktop\Persephone865qq.exe

大小: 213504 bytes

修改时间: 2019年10月10日, 18:34:48

MD5: 5B4820440FA43051DFA1BCC53319E32B

SHA1: DF5F2AA8E50208E0D62496EABCA312D038B6B2CA

CRC32: C10E3BB9

二、病毒特征及危害：

1.病毒运行后会关闭保护和数据库进程。

2.全盘加密指定类型文件。

3.创建勒索信息文件。

4.自删除等。

三、病毒运行机制分析

3.1 主线程分析

准备工作：如果路径前两个字节是“\\” 则拷贝自身到临时目录并运行

准备工作：提升进程权限，为以后结束数据库相关进程和加密其文件做准备

遍历文件加密文件分为两种情况，如下：

① .带命令行参数的情况，如果参数是文件夹 则加入链表否则直接加密

②.不带命令行参数的情况 首先会禁用Windows defender微软安全软件，防止病毒被其删除、添加自启动、删除磁盘卷影 停止数据库服务、挂载卷、遍历卷和网络共享资源并加入链表

首先禁用Windows defender微软安全软件：

添加自启动，用于持久化

删除磁盘卷影 停止数据库服务，为后期加密数据库文件做准备

挂载卷，遍历磁盘，把之前遍历的卷并加入链表

遍历网络共享资源并加入链表

3.2 子线程一(遍历链表中所有卷 创建线程处理)

等待任意线程结束 再次遍历链表 将新添加的文件夹路径创建线程处理

3.3子线程二

遍历文件夹 排除特定文件文件夹 并加密文件

排除自身生成的文件和特定文件目录

去掉文件只读属性

跳过特定后缀和已经加密过的

以源文件名加上勒索后缀，重命名，跳过空文件

将文件大小添加0x300字节用于保存密钥等数据

加密文件主要逻辑

收尾工作：线程一结束 即所有文件处理完毕。

删除自启动

删除磁盘卷影 删除远程桌面连接信息 删除系统日志

最后调用cmd自删除

四、勒索提示

病毒会在自身文件夹中创建ids.txt文件用于保存错误日志 密钥等信息

并且会创建HOW TO BACK YOUR FILES.exe文件。

五、安全建议

1.现阶段勒索病毒都会使用RSA等非对称加密，所以用户要定期对重要文件离线备份。

2.打好系统安全补丁，尤其是一些重要的，如MS17010等。

3.不要点击来源不明的邮件附件，不从不明网站下载软件。

4.使用高强度密码，避免黑客利用弱口令暴力破解

5.尽量关闭不必要的文件共享权限，尽量关闭445，135，139，3389等不必要的端口。

6.安装杀毒软件，及时更新病毒库版本

7.加强内部人员网络安全意识培训，降低安全风险。

24小时应急响应热线：15021662155 / 15611033457