本文为看雪论坛精华文章

看雪论坛作者ID：0x3674

文件名 : svhost.exe

文件大小 : 51712 字节

MD5 : 

C120F323C78D046C991F0EFE45F3819C

SHA1 : 

C6CBF8DD6DDA8388A6B5860A62091808E2B4D2BF

GlobeImposter3.0 是 GlobeImposter 家族的变种之一，2018年8月份该勒索病毒变种出现并攻击勒索国内多家大型医院和政企事业单位，GlobeImposter3.0 的加密后缀为十二生肖英文名+4444，所以GlobeImposter3.0 勒索病毒又被称为"十二生肖勒索病毒"。

勒索病毒采用 RSA 加密文件，在加密目录下会生成勒索信息提示文件HOW_TO_BACK_FILES.txt，包含攻击者联系方式和受害者 ID 等信息。目前该勒索病毒无解密工具。

1. 病毒会将自身文件复制到 AppData\Local 目录下，若该目录不存在则复制到AppData\Roaming目录下。

2. 病毒在 C:\Users\Public 目录下创建文件。

文件内容包含 RSA 公钥和解密所需的用户 ID：

3. 在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce下创建 BrowserUpdateCheck 自启动项，实现开机自启动。

4. 获取当前磁盘类型，该勒索病毒共支持三种磁盘类型，其中3为本地硬盘，2为软盘，4为网络磁盘。

5. 针对每个类型的磁盘创建一个子线程。

遍历磁盘下的文件并对文件进行加密：

在加密目录下生成勒索提示信息“HOW_TO_BACK_FILES.txt”：

加密后的文件后缀为.Snake4444：

6. 在 tmp 目录下生成 .bat 脚本文件。

bat 脚本内容如下，用于清除文件的卷影副本和 rdp 远程连接记录：

7. 病毒执行完成后会运行 %COMSPEC% /c del filename > nul，将自身删除。

1. 勒索病毒常伪装为钓鱼邮件和常用软件，避免下载和运行可疑文件。

2. 及时更新系统补丁，防止攻击者通过进行漏洞攻击。

3. 不要使用弱口令密码，防止攻击者进行暴力破解。

4. 关闭不必要的，如139、445、3389等高危端口。

5. 安装主机防护软件并及时更新病毒库。

  *本文由看雪论坛 0x3674 原创，转载请注明来自看雪社区。

好书推荐