Globelmposter勒索病毒首次出现是在2017年5月份,主要通过钓鱼邮件进行传播,2018年2月国内各大医院爆发Globelmposter变种样本2.0版本,通过溯源分析发现此勒索病毒可能是通过RDP爆破、社会工程等方式进行传播,此勒索病毒后期版本采用RSA2048加密算法,导致加密后的文件无法解密
微信上有朋友找到我说中了勒索病毒,寻找相应的帮助
勒索病毒相关的截图信息,如下所示:
加密后的文件后缀名为:Aphrodite865qq,如下所示:
勒索提示信息文件为HOW TO BACK YOUR FILES.exe,内容如下所示:
黑客的邮箱地址:
由于需要解密,后面朋友给黑客发了解密请求邮件,黑客直接要价1BTC,太黑了
现在的黑客都这么黑了,上次一个朋友被索要价值4万美金的BTC……
通过分析,判断此勒索病毒应该是Globelmposter最新的一款变种样本,也就是Globelmposter十二主神的最新版本,这个最新的变种在每个加密的文件目录下生成勒索提示信息程序HOW TO BACK YOUR FILES.exe,Globelmposter勒索病毒是今年全球十大活跃勒索病毒之一,过去的两年多时间里出现过各种不同的版本,加密后的文件后缀名高达一百多种,我们来看看Globelmposter各个不同版本的发展过程,以及加密后的文件后缀名都有哪些
2017年5月份,Globelmposter勒索病毒首次被发现,此勒索病毒版本为1.0,这个版本的勒索病毒好像是可以解密的
2018年2月,Globelmposter2.0版本出现,并且横扫国内各大医院,导致国内多家医院系统无法正常使用,此勒索病毒2.0版本使用的加密后缀名列表,如下:
TRUE、FREEMAN、CHAK、TECHNO、DOC、ALC0、ALC02、ALC03、RESERVE、GRANNY、BUNNY+、BIG、ARA、WALKER、XX、BONUM、DONALD、FOST、GLAD、GORO、MIXI、RECT、SKUNK、SCORP、TRUMP、PLIN等
2018年4月,Globelmposter2.0版本出现多个变种版本,加密后缀名列表,如下:
{killbillkill@protonmail.com}VC、{travolta_john@aol.com}ROCK
{travolta_john@aol.com}GUN、{colin_farel@aol.com}XX
{saruman7@india.com}.BRT92、[i-absolutus@bigmir.net].rose、
[lightright@bigmir.net].ransom、[bensmit@tutanota.com]_com
{jeepdayz@aol.com}BIT、{mixifightfiles@aol.com}BIT
{baguvix77@yahoo.com}.AK47、{colin_farel@aol.com}BIT
{legosfilos@aol.com}BIT、{lxgiwyl@india.com}.AK47
{omnoomnoomf@aol.com}BIT
Globelmposter2.0是Globelmposter家族中最活跃的版本之一,到目前为止仍然还有很多Globelmposter2.0的变种样本出现,Globelmposter2.0变种样本,加密后缀名列表,如下:
{HulkHoganZTX@protonmail.com}ZT
Killserver@protonmail.com}KSR
{CALLMEGOAT@PROTONMAIL.COM}CMG
{Killback@protonmail.com}KBK
2018年8月份出现此勒索病毒“十二生肖”版,加密后缀采用“十二生肖英文名+4444”,加密后缀名列表如下:
Ox4444、Snake4444、Rat4444、
Tiger4444、Rabbit4444、Dragon4444、
Horse4444、Goat4444 、Monkey4444 、
Rooster4444 、Dog4444 、Pig4444
2019年3月,此勒索病毒出现几款新的变种样本,加密后缀名列表为:
auchentoshan、makkonahi
2019年7月份出现此勒索病毒“十二主神”版,加密后缀采用“希腊神话十二主神+666”,加密后缀名列表如下:
Ares666、Zeus666、Aphrodite666、
Apollon666、Poseidon666、Artemis666、
Dionysus666、Hades666、Persephone666、
Hephaestus666、Hestia666、Athena666
2019年8月,此勒索病毒“十二主神”版,出现新的变种,加密后缀采用“希腊神话十二主神+865”,加密后缀名列表如下:
Ares865、Zeus865、Aphrodite865、
Apollon865、Poseidon865、Artemis865、
Dionysus865、Hades865、Persephone865、
Hephaestus865、Hestia865、Athena865
2019年9月,此勒索病毒“十二主神”版,出现新的变种,加密后缀采用“希腊神话十二主神+865-20”,加密后缀名列表如下:
Ares865-20、Zeus865-20、Aphrodite865-20、
Apollon865-20、Poseidon865-20、Artemis865-20、
Dionysus865-20、Hades865-20、Persephone865-20、
Hephaestus865-20、Hestia865-20、Athena865-20
2019年10月,此勒索病毒“十二主神”版,再次升级,加密后缀采用“希腊神话十二主神+865qq”,加密后缀名列表如下:
Ares865qq、Zeus865qq、Aphrodite865qq、
Apollon865qq、Poseidon865qq、Artemis865qq、
Dionysus865qq、Hades865qq、Persephone865qq、
Hephaestus865qq、Hestia865qq、Athena865qq
以“希腊神话十二主神+865qq”为加密文件后缀的Globelmposter勒索病毒的最新变种版本,后面一定还会发现它的新的版本,这款勒索病毒在全球都非常活跃,根据国外相关的报道指出,这款勒索病毒主要针对东南亚一些国家进行勒索攻击,其中主要包含中国,印度等国家
针对企业的勒索病毒攻击越来越多了,而且攻击手法越来越复杂,具有很强的针对性,旧的勒索病毒不断变种,新型的勒索病毒不断出现,全球每天都有勒索病毒的变种被发现,同时每天都有不同的企业被勒索病毒攻击,真的是数不甚数,随着BTC等虚拟货币的流行,未来勒索病毒的攻击还会持续增多,而且后面可能会慢慢转向针对不同的平台进行攻击,勒索病毒已经成为了全球网络安全最大的威胁
本文转自:安全分析与研究