搜索
查看: 2033|回复: 0

GlobeImposter 2.0病毒

[复制链接]

24

主题

79

帖子

170

积分

注册会员

Rank: 2

积分
170

突出贡献活跃会员热心会员注册会员

QQ
发表于 2018-5-27 01:56:09 | 显示全部楼层 |阅读模式
01、学习如何处理GlobeImposter 2.0 ransomware攻击,并试图恢复加密的文件,而不向犯罪者支付比特币赎金。
crypto恶意软件环境已经变得非常复杂,可以产生一些衍生产品,甚至可以模仿某些流行病毒的外观和感觉。这个被称为GlobeImposter 2.0的例子不只是一个多产的全球ransomware的垃圾模仿者,但它正逐渐成为一种流行的、最危险的文件加密恶意软件。尽管它被认为是臭名昭著的全球ransomware家族的仿制品,但它可能已经超越了原型的受害者基础和多样性的战术。在这种情况下,模仿总是比原版更糟糕的观点似乎并不适用。
在大多数的ransomware分销商的情况下,GlobeImposter 2.0活动的架构师选择使用malspam作为主要的有效载荷交付方法。被困的电子邮件往往被伪装成发票。嵌入的ZIP或RAR文件,当打开时,包含一个有毒的VBS或JS对象,它会在一眨眼的时间内将代码下载到计算机上。
由GlobeImposter 2.0修改的文件。
02、这一阶段的入侵已经完成,GlobeImposter 2.0病毒会遍历本地磁盘卷和网络共享数据,这些数据可能会被标记为潜在的重要数据。在这种侦察过程中,它忽略了像EXEs这样的系统相关项目,以确保Windows性能稳定。然后,ransomware使用公钥RSA-2048加密标准来锁定在匹配预定义格式列表的扫描过程中发现的所有条目。
除了修改受害者个人数据的深层结构外,pest还将一个新的扩展添加到每个倾斜的文件中。最常见的附加字符串包括4个或5个字符。最近被感染的病毒的扩展列表包括:.726,.725,.0402,.trump, .zuzya, .sea, . . . . . . . . . . . . . . . . . . . ., . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .原始的文件名不会改变,只会得到上面的一个,或者另一个,在末尾附加一个字符串。注意,在扩展之前可能有一个额外的点。例如,一个名为Sunrise的条目。bmp将成为Sunrise.bmp . .726或类似的。
最新的GlobeImposter 2.0变种会删除恢复文件。html救援注意
03、GlobeImposter 2.0与饱受困扰的用户之间的互动是通过所谓的“拯救笔记”建立起来的。在这种情况下,这些文件称为恢复文件。显示在桌面和内部文件夹和加密文件的html。这个名称可能还包含一个字符串,匹配连接的文件扩展名,假设一个形状像恢复文件-726.html。这些内容都是用蹩脚的英语写的,这是一个提示,表明威胁演员不是以英语为母语的人。文本的警告部分写道:“你的文件被加密了!”对于数据恢复需要解密。“罪犯强迫受害者点击“是的,我想买”按钮,这就导致了一个专门为救赎一个人的档案而制作的Tor页面。这个数字大约是0.35 BTC,在这篇文章的时候价值大约是1500美元。为了证明解密是可行的,犯罪分子提供给受害者一个免费的恢复文件。
攻击者的指示是一个滑坡。风险是很高的,他们永远不会提供私人RSA密钥和解密软件,即使是在付款被提交的情况下。因此,在受害者的待办事项列表中,第一件事是检查下面的工作区是否可以完成这个操作,并且至少可以恢复一些文件。
GlobeImposter 2.0 ransomware自动删除和数据恢复。
由于有一个最新的恶意软件签名和智能行为检测数据库,推荐的软件可以快速定位感染,根除它并纠正所有有害的变化。所以,请继续做下面的事情:
04、请放心,扫描报告将列出所有可能危害您的操作系统的项目。选择已检测到的条目并单击Fix威胁来完成故障排除。
数据恢复工具包的救援。
在加密程序完成之后,一些ransomware的变体就会删除原始文件。当这种活动出现时,它会在你的手中发挥作用。有一些应用程序旨在恢复由于硬件故障或意外删除而被删除的信息。这个工具叫做Data Recovery Pro by ParetoLogic这类功能,因此它可以应用到赎金攻击场景中,至少可以得到最重要的文件。所以下载并安装程序,运行扫描并让它完成它的工作。


GlobeImposter 2.0病毒.png
GlobeImposter 2.0病毒1.png
GlobeImposter 2.0病毒2.png
GlobeImposter 2.0病毒3.png
GlobeImposter 2.0病毒4.png
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表