背景概述

近日，深信服终端安全团队捕获到了Globelmposter家族的又一新变种，经分析其代码结构与以往变种有很大变化，但其行为流程却具有鲜明的Globelmposter特点，且在攻击现场发现的样本母体被黑客命名为“5.1.exe”，因此我们也将此次发现的变种定义为Globelmposter 5.1变种。

Globelmposter家族首次出现在2017年5月份，自问世以来一直非常活跃，并相继出现了2.0、3.0、4.0等版本，更是囊括了“十二生肖”、“十二主神”、C*H等具有鲜明特色的加密文件后缀。与C*H变种对比，5.1变种的代码结构进行了大幅度改动：

技术分析

病毒运行后会将自身复制到%LOCALAPPDATA%或%APPDATA%目录：

进行持久化操作，设置自启动项，注册表项为

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\LicChk，实现开机自启动，如果在加密过程中主机关机，病毒在系统重启后能够自动运行并继续加密：

解密出豁免的文件后缀：

解密出豁免的文件及文件夹名：

解密出勒索信息文件名：

在C:\Users\Public目录写入ID文件：

文件内容如下：

加密3种类型的磁盘：可移动磁盘，固定磁盘，网络磁盘。

执行命令删除磁盘卷影，并删除注册表中“Terminal Server Client”中的键值，删除远程桌面连接信息文件default.rdp，还会通过wevtutil.exe cl的命令清除日志的相关信息：

加密文件，加密后缀为”.IQ0005”：

写入勒索信息文件：

勒索信息内容如下：

勒索结束后病毒文件自删除：

深信服安全产品解决方案

1. 深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

64位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2. 深信服安全感知平台、下一代防火墙、EDR用户，建议及时升级最新版本，并接入安全云脑，使用云查服务以及时检测防御新威胁：

3. 深信服安全产品集成深信服SAVE人工智能检测引擎，拥有强大的泛化能力，精准防御未知病毒；

4. 深信服推出安全运营服务，通过以“人机共智”的服务模式帮助用户快速提高安全能力；针对此类威胁，安全运营服务提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务，确保第一时间检测风险以及更新策略，防范此类威胁。

基础加固

深信服安全团队再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

1、及时给系统和应用打补丁，修复常见高危漏洞；

2、对重要的数据文件定期进行非本地备份；

3、不要点击来源不明的邮件附件，不从不明网站下载软件；

4、尽量关闭不必要的文件共享权限；

5、更改主机账户和数据库密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃；

6、如果业务上无需使用RDP的，建议关闭RDP功能，并尽量不要对外网映射RDP端口和数据库端口。

咨询与服务

您可以通过以下方式联系我们，获取关于该勒索的免费咨询及支持服务：

1、拨打电话400-630-6430转6号线（已开通勒索软件专线）

2、关注【深信服技术服务】微信公众号，选择“智能服务”菜单，进行咨询

3、PC端访问深信服社区 bbs.sangfor.com.cn，选择右侧智能客服，进行咨询

来源：freebuf.com 2021-03-08 16:08:05 by: 深信服千里目安全实验室