globelImposter出来已经有很长时间了，目前其C4H后缀的变种依旧有老哥中招，该家族可谓是经久不衰，且就在投稿前几天火绒发紧急通告说该家族又在活跃。尽管在坛子上也globelImposter相关分析文章，但主要的加密部分可能因为时间关系分析得较简略或有点错误，毕竟勒索病毒精髓就是文件加密部分。若文中有错误的地方望大伙指出，谢谢。

样本名 globelImposter.exe
样本大小 51,712 bytes
MD5 C120F323C78D046C991F0EFE45F3819C
SHA1 C6CBF8DD6DDA8388A6B5860A62091808E2B4D2BF

windows xp 32位

相关注册表操作：

相关文件操作：


已被加密的文件：

首先跟进MyAESDecode_408B19()函数：

该函数用内置的AES密钥解密出内置的RSA公钥：

先调用aes_setkey_enc()设置内置的密钥，再跟进aes256_crypt()函数，该函数使用ECB模式解密，函数详情如下：

其中aes_crypt_ecb()中，当a2=1时进行加密操作，a2=0时进行解密操作：

内置的AES密钥：

内置被加密的RSA公钥：

解密后的RSA公钥：

然后申请空间存放计算出RSA公钥的SHA256：

跟进ClacSha256_4088F4(），该函数负责计算解密出来的RSA公钥的SHA256：

存放的地址：

先获取当前程序运行路径：

接着调用MyAESDecode_408B19(）函数，传入RSA公钥的SHA256的值作为AES的密钥分别解密出后缀名和how_to_back_files.txt

再调用DecodeStrList_409ABF(）函数，传入RSA公钥的SHA256作参数，解密出相关不加密的字符串：

判断运行文件的路径是否为LOACLAPPDATA环境变量路径，如果不是，则把文件复制过去：

并在注册表把路径值设置为开机启动项：

把RSA公钥的进行SHA256后的字符串与ALLUSERPROFILE环境变量对应的路径拼接：

紧接着把路径传人CalcIDAndCreateTxt_409B4B(）函数并调用：

跟进该函数，函数中把公钥和计算生成的UserID写入Txt文件创建拼接后的文件：

然后申请堆空间，并调用CreateUserRSAAndWrite_40A116(）函数生成加密用户所需的RSA密钥，并把公钥写入堆空间

跟进CreateUserRSAAndWrite_40A116(）函数，在该函数中首先调用rsa_gen_key__40741D()生成USER_RSA1024密钥对：

然后调用Wirtefile 向txt文件写入生成的RSA公钥：

把Rsa_P、Rsa_Q与字符串拼接：

拼接后的字符串如下：

接着调用rsa_encrypt_409FDE()函数，传入内置的rsa公钥对拼接后的字符串进行加密：

被加密后的字符串：

把加密后的字符串十六进制转为ASC字符串后，并写入txt文件中，以此作为用户ID:

文件内容：

下面进入文件加密的函数StartEncryptFiles(），参数为用户ID和生成的Rsa公钥：

跟该加密含塑，首先获得判断磁盘类型，2、3、4表示支持移动移动硬盘、硬盘、网络硬盘：

对每个盘符开启一个线程进行加密，参数为用户ID和生成的Rsa公钥：

进入线程函数StartAddress，首先解析出函数参数：

开始拼接盘符c:* 遍历文件：

经过一系列的比较文件名，最终调用加密函数startEncrypt_408D8B():

进入startEncrypt_408D8B，先调用ctr_drbg_random_40667A(）生成32字节的随机sec_key:

生成的32字节的随机sec_key如下： ![]
(upload/attach/202102/718877_REUW8U9PV4M52CC.png)

初始化digest向量：

把向量和文件路径作填充消息：

所生成的32字节的hash如下:

然后把生成的hash前16字节和sec_key作填充消息，做两次hash运算后的值作为AES加密的key：

所生成的AES的密钥为：

用参数传入的RSA公钥加密生成AES的sec_key，其中off_40111C为公钥指数e:固定为0x010001：

加密后的sec_key:

把加密后的sec_key和计算生成的用户ID字符串写入文件：

然后调用AES_EnCryptFile()执行文件加密：

跟进AES_EnCryptFile()中，其中调用EncryptFile_408A3F()进行加密， v12为原来内容 a10为加密后的内容:

跟进EncryptFile_408A3F()函数，该函数为主要加密操作函数，加密方法为：采取隔行加密策略，先异或16个字节，再用AES的ecb模式加密：

加密前传入内容：

进行前16个字节异或后：

再用AES的ecb模式加密异或后的16字节：

加密完文件后，把AES的密钥再次做hash运算，并把前面生成hash的前16字节也复制在后面，再把这0x30个字节复制到加密后文件内容的后面：

最终加密后的文件内容结构如下：
第一部分为文件加密的内容：

第二部分为AES密钥被生成RSA公钥加密后的内容：

第三部分为所生成RSA公钥：

第四部分为部上hash的0x30个字节：

在WriteHowBackFile_40935E()函数中释放how_to_back_file.txt在相应目录：

内容如下：

在CreateAndRunBat()调用MyAESDecode_408B19()解密bat，清除登录日志：

解密的aes密钥：

Bat内容如下：

执行自删除操作：

命令如下：

名称：C4H.exe
大小：56832 字节
MD5：3AF2E34E2B5E3632C0C99DE82AC5A6E4
SHA1：6041C4AB11FF14D20F71072A04AD78F0B7D4BEDA

bindiff总体对比图：

RSA的公钥写在文件中：

直接将其计算SHA256:

解密的字符串的方式，C4H不同与globelImposter的直接采用根据RSA的SHA256值解密作AES的密钥解密出相关字符串，其采用自定义解密的方式根据RSA的SHA256值解密出相应的文件名：

解密出的字符串：

获得的加密后缀名为.C4H:

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课