近日，Globelmposter以及GandCrab勒索病毒变种再度肆虐互联网，给国内很多企业机构带来重大损失。下面我们就这两起重要的勒索病毒攻击事件进行分析汇总，同时基于相关事件推出启明星辰勒索病毒整体解决方案，并提醒广大企业机构密切注意和防范。
 
事件一：
Globelmposter3.0变种再度袭击国内多个医疗机构 

继去年下半年在国内医疗机构爆发Globelmposter勒索病毒以来，今年3月，该勒索病毒3.0版本变种再次袭击国内多家大型医院。感染后，数据库被加密破坏，文件被加密并重命名为.snake4444扩展名，并要求用户通过邮件沟通赎金跟解密密钥。该病毒主要通过RDP弱口令爆破入侵服务器，继而利用已经攻陷的设备做跳板攻击内网内其他主机。

样本分析：

（1）样本在执行开始时会对PE文件的完整性进行验证，如果都通过则进入主体流程。

（2）程序进入主流程之后会从自身资源区直接获取一段加密的shellcode并赋值到开辟好的内存块中。
 

这段shellcode的前8字节与另一段16字节的key一起作为shellcode的解密KEY对shellcode每8个字节进行一次解密。
 

解密算法如下：
 

（3）然后程序会调用VirtualProctet对存放这段shellcode的内存区域赋予可执行权限，并跳转到该shellcode进行执行。这段shellcode会去寻找shellcode中内嵌的一个PE文件的位置，并申请一段内存将其拷贝到申请到的内存空间中，然后将其PE头和后续数据进行解密并覆写到最开始的执行PE文件的PE头和.text区段，然后动态获取所需要的函数地址并重写导入表，最后直接跳转到修改好的代码区域执行最终的勒索软件主体。
 

（4）勒索软件主体程序会判断是否存在环境变量%appdata%,如果存在则将自身拷贝到该路径下，如果不存在直接结束进程。然后紧接着创建注册表项
Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\\BrowserUpdateCheck 并将存放在%appdata%的勒索软件主体的路径作为其值，来实现开机自启动。

（5）接着判断是否存在环境变量%public%和%ALLUSERSPROFILE%，如果都不存在则直接结束进程。这个判断的主要目的是为了存放受害者主机生成的密钥和唯一标识码。

（6）之后开始遍历进程，并使用taskkill命令结束掉进程名中含有如下字符串的进程。
 

（7）进程遍历结束之后，遍历所有盘符，查找磁盘属性为移动磁盘、固定磁盘，网络磁盘对应的盘符，然后找到多少个磁盘就创建多少个对应的线程加密对应磁盘内的数据。

（8）在遍历文件时会判断文件是否属于排除路径，如果不是才会被加密。

（9）文件的加密密钥是由当前被加密的文件所决定，程序会获取需要被加密的文件的文件路径，大小，用户ID来计算对应的AES密钥，然后文件将会使用该密钥加密，同时该密钥会被硬编码的RSA公钥加密保存在文件中，被加密的文件会被附上新的后缀名（依勒索病毒版本变化），并且每个加密文件夹内会生成一个Read__Me.html来指导受害者如何支付赎金。

（10）最后会执行批处理删除卷影副本和远程桌面相关配置。
 
事件二：
黑客冒充公安部门发送钓鱼邮件传播GandCrab 5.2勒索病毒 

近日，国内有多个企事业单位收到了黑客冒充公安部门发送的钓鱼邮件，钓鱼邮件标题为“你必须在3月11日下午3点向警察局报到！”，钓鱼邮件同时携带文件名为“03-11-2019.rar”的附件。附件中包含一个可执行文件，经过分析，该可执行文件为GandCrab勒索病毒5.2版本变种。

经过对攻击者的分析，我们发现其IP地址主要位于韩国和俄罗斯。

目前已经发现的攻击者邮箱如下：

Jae-Bong-Police@designerbasith.com
Jae-ho-policesupport@skinslotto.com
Jae-Bong-Police@skinslotto.com
Jae-jin@utista.com
Jae-joon@b4imports.com
Byung-chal@santafegiants.com
Jae-hyuk@santafegiants.com
Jae-hyun@b4imports.com
Jae-joon@skinslotto.com
Jae-hyuk@utista.com
Jae-beom@santafegiants.com
yung-ho@designerbasith.com
Jae-beom@utista.com
yung-ho@utista.com
Jae-hyun@skinslotto.com
Jae-hyun@idalbostian.com
Jae-jin@illwaitforthemovie.com
Jae-joon@illwaitforthemovie.com
Byung-chal@amazosicherheitsdienst.com
Byung-chal@blackmonlabs.com
Beom-seyk@idalbostian.com
Jae-ho-policesupport@idalbostian.com
yung-ho@illwaitforthemovie.com
Jae-hyun@illwaitforthemovie.com
yung-ho@idalbostian.com
Jae-hyun@amazosicherheitsdienst.com
 
截止到目前，我们在国内大部分地区均发现了感染案例。
 

样本分析：

（1）样本程序入口有很多花指令，以干扰静态分析。
 

（2）疑似利用OpenProcess进行运行环境检测，传入的ProcessID为固定的0x2D，且有TERMINATE权限。比较返回值是否为INVALID_HANDLE_VALUE，不是继续执行。如果是INVALID_HANDLE_VALUE，则获取错误码，并和0x57比较，等于继续执行，不等于直接退出进程，0x57代表参数错误。

（3）同时为了对抗静态检测，病毒内嵌的字符串都是使用时再进行RC4解密。
 

（4）收集用户的系统信息，包含账号、机器名称、系统版本等信息，并拼接成如下格式：

pc_user=* &pc_name=*&pc_group=*&pc_keyb=*&os_major=*&os_bit=*&ransom_id=*&hdd=*&id=*&sub_id=*&version=*&action=call。上述信息使用RC4算法加密，密钥为.oj=294~!z3)9n-1,8^)o((q22)lb$。

（5）在收集完上述信息并加密后，会继续查询输入法，发现有俄文输入法，删除自身文件，并退出进程。

没有俄文输入法的话，继续检测操作系统语言，对于如下国家的系统则自动放过加密：

419(俄罗斯)、422(乌克兰)、423(比利时)、428(塔吉克)、42b(亚美尼亚)、42c(阿塞拜疆-阿里赛)、437(格鲁吉亚)、43f(吉尔吉斯坦)、440(吉尔吉斯斯坦)、442(土库曼)、443(乌兹别克斯坦)、444(鞑靼斯坦)、818(罗马尼亚)、819(俄罗斯-摩尔多瓦)、82c(阿塞拜疆)、843(乌兹别克)、45A(叙利亚)、2801(未知)

（6）查找并结束如下进程。

msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、agntsvc.exe、isqlplussvc.exe、xfssvccon.exe、sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exeinfopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、synctime.exe、dbsnmp.exe、oracle.exe、sqlwriter.exe、ocomm.exe、sqlbrowser.exe、sqlagent.exe、thebat.exe、isqlplussvc.exe、msftesql.exe、agntsvc.exe、xfssvccon.exe、sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、encsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe、ocssd.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、mspub.exe、infopath.exe、msaccess.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe

（7）在内存里依次解密出RSA公钥，需要加密的文件扩展名，不需要加密的文件扩展名。
 

（8）最终遍历所有文件，使用Salsa20加密包含上述扩展名的文件，并追加随机扩展名。加密机制如下：

a.生成32位和8位字节的随机字符，作为Salsa20的密钥和向量。

b.生成一对RSA密钥，记为Session Prv Key和Session Pub Key，对于私钥Session Prv Key使用上述生成的密钥和向量进行Salsa20加密。公钥Session Pub Key和加密后的Session Prv Key都保存在注册表里。

c.用攻击者的公钥加密前面生成的Salsa20的密钥和向量。

d.对每个被加密的文件，生成32和8位字节随机字符，作为Salsa20的密钥和向量。以此加密文件，且每个文件的Salsa20的密钥和向量都不同。对这个Salsa20的密钥和向量使用公钥Session Pub Key加密。
 

解决方案 

面对屡屡爆发的勒索攻击，启明星辰推出“云端感知，网端检测，终端防护，系统加固“的立体解决方案。

一、“云”端感知

在“云”端，VenusEye威胁情报中心监测全球勒索病毒态势，推出汇集了超300种勒索病毒家族的搜索引擎（lesuo.venuseye.com.cn）。用户可使用勒索病毒名，加密文件名等查询到这些勒索病毒的情报信息，并获得相关的解决方案及处置建议。
 

二、“网”端检测

在“网”端可以部署：

天镜脆弱性扫描与管理系统对包含勒索病毒利用漏洞的资产进行检测；

天阗高级持续性威胁检测与管理系统对网络中的未知勒索病毒进行检测；

天清邮件安全管理系统对邮件中的勒索病毒进行精准拦截；

天阗入侵检测与管理系统，天清入侵防御系统斩断勒索病毒的传播途径。
 
1、通过部署天镜脆弱性扫描和管理系统，确认如下的扫描策略已经升级下发，并使用该策略进行勒索病毒利用漏洞的资产扫描：

（1） 通过SMB和RDP漏洞进行传播的支持方法：

策略名称如下：

策略包含的SMB漏洞如下：

策略包含的RDP漏洞如下：

 
（2）通过SMB和RDP弱口令进行传播的支持方法：

下发弱口令扫描任务，选中，SMB和RDP：

使用最新的勒索病毒弱口令：

2、通过部署天阗高级持续性威胁检测与管理系统，无需升级即可有效检测流量中的未知勒索病毒。
 

3、通过部署天清邮件安全管理系统，精准发现通过邮件传播的勒索病毒。
 

关于天清邮件安全管理系统针对勒索病毒的整体解决方案请参考：
https://mp.weixin.qq.com/s/BbRTP4FfKDV-BW08lFowWg
 
4、通过部署天阗入侵检测与管理系统、天清入侵防御系统，并确认如下事件已经下发，即可有效检测、阻断勒索病毒通过弱口令以及漏洞进行传播。

提示：当发现上述弱口令事件且源IP地址属于非白名单IP时，则风险更大。
 
三、“终端”防护

在终端/服务器可以部署具备完善勒索病毒防护体系的景云网络防病毒系统，形成勒索病毒的最后一道防线。

1、病毒检测与实时监控功能可以有效检测出已知勒索病毒。
 

2、开启U盘防护功能，可以拦截通过移动存储介质传播的勒索病毒。
 

3、日常使用补丁扫描功能，及时修补各种系统补丁，防止勒索病毒通过系统漏洞进入。
 

4、景云还具有基于多步行为序列分析引擎实现的反勒索防护系统，实现勒索病毒的事前防御、事中监控拦截、事后恢复全套的闭环的三重纵深防护。

四、系统加固

在有效部署各种安全产品的同时，还应该对系统进行全方位加固，以确保万无一失。

1、尽量关闭不必要的服务和端口。如：135，139，445端口，对于远程桌面服务（3389），VNC服务需要进行白名单设置，仅允许白名单内的IP登陆。

2、禁用GUEST来宾用户。尽量不要使用局域网共享，或把共享磁盘设置为只读属性，不允许局域网用户改写文件。

3、采用不少于10位的高强度密码，并定期更换密码。

4、及时更新系统，给系统打补丁，修补漏洞。

5、定期对重要文件以及数据库做非本地备份。

6、不点击来源不明的邮件以及附件，切断勒索病毒的邮件传播方式。