GlobeImposter 3.0勒索病毒深度分析与防御指南

一、病毒概述

GlobeImposter勒索病毒家族自2017年出现以来持续活跃，已发展至3.0版本。该病毒采用RSA+AES混合加密机制，主要针对Windows系统进行攻击。

版本演进

• V1.0：早期版本
• V2.0：RSA公钥硬编码在代码中
• V3.0：新增功能：
  • 动态解密RSA公钥
  • 加密文件后缀改为".动物名称+4444"格式(如.Horse4444)
  • 新增自删除功能
  • 用户ID信息存储于C:\Users\public\路径下

二、技术细节分析

加密机制

1. 加密流程：

   • 使用AES算法加密文件内容
   • 使用RSA算法加密AES密钥
   • 双重加密确保无法暴力破解

2. 密钥管理：

   • RSA公钥动态解密（V3.0新增）
   • 用户ID与公钥关联存储：
     • 存储路径：C:\Users\public\
     • 文件名格式：RSA公钥的SHA256值(如A1965A0B3E0B2DD766735BAA06C5E8F419AB070A92408411BDB0DC1FFB69D8FC)

文件操作

1. 文件遍历：

   • 支持三种磁盘类型：
     • 硬盘(DRIVE_FIXED)
     • 移动硬盘(DRIVE_REMOVABLE)
     • 网络硬盘(DRIVE_REMOTE)
   • 使用动态解密的关键词进行文件过滤

2. 持久化机制：

   • 自拷贝到LOCALAPPDATA目录
   • 伪装为浏览器更新程序
   • 注册表自启动：
     • 注册表项：RunOnce
     • 值名称：BrowserUpdateCheck

清理痕迹

1. 生成随机文件名.bat文件(如tmpADF9.tmp.bat)
2. 清除RDP登录历史记录
3. 自删除

三、传播方式分析

方式一：横向渗透

1. 使用工具：mimikatz.exe
2. 操作流程：
   • 扫描本机所有账户密码
   • 结果保存至result.txt
   • 若为域管理员机器，则整个域沦陷
3. 命令行示例：

   mimikatz.exe "sekurlsa::logonpasswords" "exit" > result.txt
   

方式二：RDP爆破

1. 工具组合：
   • nasp.exe：局域网3389端口扫描
   • NLBrute.exe：RDP爆破工具
2. 操作流程：
   • 扫描开放3389端口的机器
   • 对目标进行RDP爆破
   • 成功后重复传播

四、防御建议

基础防护措施

1. 密码策略：

   • 禁用弱密码
   • 不同服务器使用不同高强度密码
   • 定期更换密码

2. 端口管理：

   • 修改/关闭RDP默认端口(3389)
   • 关闭高危端口：445、135、139等
   • 禁用不必要的文件共享

系统加固

1. 定期安装系统补丁
2. 限制域管理员权限
3. 实施网络分区：
   • 合理划分安全域
   • 设置严格的ACL规则

监控与响应

1. 部署全流量日志记录
2. 监控异常行为：
   • 异常RDP连接
   • 横向移动行为
   • 可疑进程创建
3. 建立应急响应流程

数据保护

1. 实施3-2-1备份策略：
   • 3份副本
   • 2种介质
   • 1份离线备份
2. 定期测试备份可恢复性

五、应急处置指南

1. 立即隔离感染主机
2. 切断网络连接
3. 排查横向传播迹象
4. 从备份恢复数据
5. 全面检查域控制器
6. 重置所有可能泄露的凭据

重要提示：目前该勒索病毒加密的文件无法解密，预防是关键！