深度解析勒索病毒GlobeImposter3.0变种 加解密流程全曝光

  1. 云栖社区>
  2. 阿里云安全>
  3. 博客>
  4. 正文

深度解析勒索病毒GlobeImposter3.0变种 加解密流程全曝光

云安全专家 2018-09-10 09:47:45 浏览5549
展开阅读全文

背景

GlobeImposter勒索病毒家族从2017年出现,持续活跃到现在,先后出现过V1.0和V2.0两个版本。最近该勒索病毒又更新了,虽然其整体代码框架变化不大,只做了些局部修改,我们也勉强将其称为V3.0版本。该版本仍然采用RSA和AES两种加密算法的结合,病毒本身也未添加横向传播渗透的能力。

相较之前版本,该版本对RSA公钥和加密文件后缀采用了加密处理,且将加密文件的后缀改成.动物名称+4444的样子,如:.Horse4444,还会将中招用户的ID信息保存在C:\Users\public\路径下,文件名是其对应RSA公钥的SHA256的值。当加密完成后,除了之前已有的清除远程桌面登录信息,还添加了自删除的功能。

目前该类敲诈者病毒主要的传播方式是扫描渗透配合远程桌面登录爆破的方式进行传播,如果重要文件被加密了,根本没办法解密。

网友评论

登录后评论
0/500
评论
云安全专家
+ 关注
所属云栖号: 阿里云安全