GlobeImposter2.0再出新变种,疑似应用PsExec内网流传 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

申博_安全防护 申博 92次浏览 未收录 0个评论

近日,深佩服平安团队发明了GlobeImposter2.0讹诈病毒新变种,该变种疑似应用微软官网东西PsExec举行内网流传并运用了新的讹诈界面。停止现在,国内已在政府单元、修建地产等行业发明多个感染案例。

另外,我们观察到,外洋用户也同时遭到该变种损害,Twitter平安研讨账号GrujaRS同步发明该变种有活泼征象。

本次发明的讹诈病毒恰是GlobeImposter2.0家属的新变种。讹诈界面以下:

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

该变种文件加密后缀一共有21个:

.Erenahen,.bobelectron,.ciphered,.tabufa,.saveyoudata,.saveyourdata,.hotprice8,.666decrypt666,.1ibertoned,.unlockassistant,.shelbyboom,AsabHadare,.helpinc,.Coockish,.rescuerr,.supporthelpgood,.decrypt019,.Saveyourdata,.decrypt2019,.helprobot,.telcomsupp2351,.Gamgamga

该变种运用的黑客邮箱有:

· [email protected]

· [email protected]

· [email protected]

· [email protected]

GlobeImposter家属简介

GlobeImposter是近期异常活泼的讹诈家属,初次涌现在2017年5月份,今后,不断涌现新的版本和变种;本年七月,更有“十二主神”系列迸发,国内医疗行业深受要挟。深佩服平安团队一向延续关注并跟踪此讹诈病毒家属,下图是深佩服跟踪GlobeImposter讹诈病毒演进的时候轴:

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

GlobeImposter2.0最新变种细致剖析

在被讹诈的主机中,发明讹诈时候点天生了PsExec效劳以及3个剧本文件:

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

PsExec是微软宣布的一个轻量级telnet替换东西,运用者无需手动装置客户端软件即可实行其他体系上的历程,而且可以获得与控制台应用程序相称的完整交互性。微软官方引见了该东西的装置和运用方法,而且提醒用户该东西会被歹意软件应用。

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

剧本文件内容以下,其功能为完毕mssqlserver以及反病毒软件:

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

样本剖析

解密出内置rsa公钥信息,盘算内置rsa公钥的sha256哈希,运用内置rsa公钥的sha256哈希作为aes密钥解密出加密文件后缀以及信息提醒文件称号:

DNS放大进击暴增,高等防护燃眉之急

来自网络安全公司Nexusguard的研究人员表示,在过去三个月里,他们发现DNS放大攻击(DNS Amplification Attack)增加了1000%。 Nexusguard分析师Tony Miu,Ricky Yeung和Dominic Li,在他们的“2019年第二季度威胁报告”中表示,将攻击的大幅增长归因于域名系统安

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

解密出文件夹白名单,后缀名白名单。细致文件夹称号以下:

Windows, Microsoft, Microsoft Help, Windows App Certification Kit, windows Defender, ESET, COMODO, Windows NT, Windows Kits, Windows Mail, Windows Media Player, Windows Multimedia Platform, Nindows Phone Kits, Windows Phone Silverlight Kits, Windows Photo Viewer, Windows Portable Devices, windows Sidebar, WindowsPowerShel1, VIDIA Corporation, Microsoft. NET, Internet Explorer, Kaspersky Lab, McAfee, Avira, spytech software, sysconfig, Avast, Dr. Web, Symantec, Symantec_Client_Security, system volume information, AVG, Microsoft Shared, Common Files, Outlook Express, Movie Maker, Chrome, Mozilla Firefox, Opera, YandexBrowser, ntldr, Wsus, ProgramData

猎取%localappdata%者%appdata%目次,将本身拷贝过去。添加到Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce下的BrowserUpdateCheck作为启动项,其会举行检测是不是已被感染:

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

然后其会在用户的%pulbic%或许%ALLUSERPROFILE%下建立内置rsa公钥的sha256哈希为称号的文件,个中保存着用户ID信息以及天生的rsa公钥等信息:

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

再对用户磁盘举行遍历,包含挪动磁盘,牢固磁盘以及收集磁盘(基本上是同享或许映照)然后对文件举行加密。

加密完以后会在用户temp目次下天生tmp.bat用来删除用户磁盘卷影,远程桌面衔接信息,删除日记信息等:

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

然后建立一个cmd历程将本身删除:

GlobeImposter2.0再出新变种,疑似应用PsExec内网流传

解决方案

针对已涌现讹诈征象的用户,由于临时没有解密东西,发起尽快对感染主机举行断网断绝。深佩服提醒宽大用户尽快做好病毒检测与防备步伐,提防该病毒家属的讹诈进击。

病毒防备

深佩服平安团队再次提醒宽大用户,讹诈病毒以防为主,现在大部分讹诈病毒加密后的文件都没法解密,注重一样平常提防步伐:

1、实时给电脑打补丁,修复破绽。

2、对主要的数据文件按期举行非当地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、只管封闭不必要的文件同享权限。

5、变动账户暗码,设置强暗码,防止运用一致的暗码,由于一致的暗码会致使一台被攻破,多台遭殃。

6、假如营业上无需运用RDP的,发起封闭RDP。

末了,发起企业对全网举行一次平安搜检和杀毒扫描,增强防护事情。

原文地点: https://www.4hou.com/system/20431.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明GlobeImposter2.0再出新变种,疑似应用PsExec内网流传
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址