样本简介

最近接到客户举报,服务器文件被勒索软件加密,联系客户拿到样本之后,判定该样本为Globelmposter家族的变种样本。

Globelmposter家族首次发现在2017年5月份,这次发现的样本为Globelmposter家族的最新样本,没有内网传播功能,其加密文件使用.TRUE扩展名,取消了勒索付款的比特币钱包地址以及回传信息的“洋葱”网络地址,而是直接通过邮件地址告知受害者联系,然后取得相应的付款方式,由于Globelmposter采用RSA2048算法加密,目前该勒索样本加密的文件无解密工具。

行为分析

1.勒索样本在运行后,首先判断%LOCALAPPDATA%或%APPDATA%环境变量是否存在,如果存在则将自身复制到%LOCALAPPDATA%或%APPDATA%目录,如图所示

相关的反汇编代码如图所示:

2.复制自身到%LOCALAPPDATA%或%APPDATA%目录之后,进行持久化操作,设置自启动项,注册表项为HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\BrowserUpdateCheck实现开机自启动,反汇编代码如图所示:

点击收藏 | 0 关注 | 1
登录 后跟帖