針對(duì)sql server數(shù)據(jù)庫(kù)文件的勒索病毒變種再現(xiàn)江湖

安全分析與研究

專(zhuān)注于全球惡意軟件的分析與研究

勒索病毒

Globelmposter勒索病毒首次出現(xiàn)于2017年5月，主要通過(guò)釣魚(yú)郵件進(jìn)行傳播，2018年2月國(guó)內(nèi)幾個(gè)醫(yī)院被Globelmposter勒索病毒2.0變種加密勒索，通過(guò)溯源分析發(fā)現(xiàn)此勒索病毒主要通過(guò)RDP爆破方式進(jìn)行攻擊傳播，隨后的幾年時(shí)間里，這個(gè)勒索病毒一直在變種，最近有朋友通過(guò)微信找到咨詢(xún)勒索病毒相關(guān)情報(bào)，如圖所示：

該勒索病毒提示信息文件HOW TO BACK YOUR FILES.txt，如下所示：

加密后的文件后綴名：Globeimposter-Alpha666qqz，黑客郵件地址：

China.Helper@aol.com，通過(guò)初步判斷此勒索病毒應(yīng)該為Globelmposter勒索病毒家族的變種版本，主要加密服務(wù)器上SQL Server數(shù)據(jù)庫(kù)類(lèi)型的文件，例如：MDF、LDF、NDF等后綴名的文件。

發(fā)展歷史

這款勒索病毒是最近幾年非?；钴S的幾大主流勒索病毒之一，同時(shí)也是連續(xù)兩年被筆者評(píng)為“全球十大流行勒索病毒”之一，可以查看公眾號(hào)之前的文章：

《2019年全球十大流行勒索病毒》

《2020年全球十大流行勒索病毒》

現(xiàn)在筆者給大家整理一下這款勒索病毒的發(fā)展歷史，相關(guān)變種出現(xiàn)的時(shí)間線，如下所示：

從十二生肖變種開(kāi)始，相關(guān)的加密后綴名：

(1)十二生肖版本

Ox4444、Snake4444、Rat4444、

Tiger4444、Rabbit4444、Dragon4444、

Horse4444、Goat4444 、Monkey4444 、

Rooster4444 、Dog4444 、Pig4444

(2)十二主神版本

Ares666、Zeus666、Aphrodite666、

Apollon666、Poseidon666、Artemis666、

Dionysus666、Hades666、Persephone666、

Hephaestus666、Hestia666、Athena666

(3)十二生肖/主神變種版本一

Ares865、Zeus865、Aphrodite865、

Apollon865、Poseidon865、Artemis865、

Dionysus865、Hades865、Persephone865、

Hephaestus865、Hestia865、Athena865

(4)十二生肖/主神變種版本二

Ares865-20、Zeus865-20、

Aphrodite865-20、Apollon865-20、

Poseidon865-20、Artemis865-20、

Dionysus865-20、Hades865-20、

Persephone865-20、Hephaestus865-20、

Hestia865-20、Athena865-20

(5)十二生肖/主神變種版本三

Ares865qq、Zeus865qq、

Aphrodite865qq、Apollon865qq、

Poseidon865qq、Artemis865qq、

Dionysus865qq、Hades865qq、

Persephone865qq、Hephaestus865qq、

Hestia865qq、Athena865qq

(6)十二生肖/主神變種版本四

Ox4865qqz、Snake865qqz、

Rat865qqz、Tiger865qqz、

Rabbit865qqz、Dragon865qqz、

Horse865qqz、Goat865qqz 、

Monkey865qqz 、Rooster865qqz 、

Dog865qqz 、Pig865qqz

(7)十二生肖/主神變種版本五

Globeimposter-Alpha865qqz

Globeimposter-Beta865qqz

Globeimposter-Delta865qqz......

(8)十二生肖/主神變種版本六

Globeimposter-Alpha666qqz

Globeimposter-Beta666qqz

Globeimposter-Delta666qqz......

威脅情報(bào)

Globelmposter勒索病毒是最近幾年一直很活躍的勒索病毒，與CrySiS勒索病毒一樣，這兩款勒索病毒在2018年開(kāi)始在國(guó)內(nèi)流行起來(lái)，這兩款勒索病毒最開(kāi)始都是以RDP爆破的方式進(jìn)行勒索攻擊，最近筆者發(fā)現(xiàn)的CrySiS勒索病毒最新的變種開(kāi)始使用釣魚(yú)郵件+社會(huì)工程學(xué)的方式進(jìn)行攻擊，為了逃避邊界防火墻的攔截，這些黑客組織還會(huì)利用一些已經(jīng)攻陷的正常網(wǎng)站來(lái)傳播勒索病毒，詳細(xì)的信息可以查看之前的文章，里面有對(duì)攻擊手法的詳細(xì)分析介紹。

《勒索DASH幣CrySiS最新變種的同源分析》

相比Sodinokibi(REvil)、Avaddon、Netwalker、DarkSide等現(xiàn)在主流的幾款勒索病毒家族，CrySiS和Globelmposter這兩款勒索病毒出現(xiàn)的時(shí)間都比他們要早，眼看這些新型的勒索病毒組織紛紛加入BGH活動(dòng)“賺大錢(qián)”，與他們一起流行的GandCrab勒索病毒更是早早的“發(fā)財(cái)上岸”了，估計(jì)這兩款“老牌”的流行勒索病毒也"坐不住"了，不再像之前使用過(guò)于單一的攻擊方式，正在嘗試結(jié)合使用其他更多的攻擊方法。

勒索病毒最近幾年一直很活躍，而且現(xiàn)在已經(jīng)逐步轉(zhuǎn)向成使用各種APT攻擊的方法進(jìn)行定向攻擊傳播，有很多朋友通過(guò)微信、知乎等方式聯(lián)系筆者進(jìn)行相關(guān)的咨詢(xún)，筆者也被朋友們戲稱(chēng)為：“勒索病毒百科全書(shū)”，“病毒家族AI人肉鑒定引擎”，“溯源分析AI人肉分析機(jī)”等，如果讀者朋友們有被勒索病毒或其他惡意軟件攻擊等相關(guān)的問(wèn)題，歡迎咨詢(xún)，也可以查看勒索病毒專(zhuān)題報(bào)道。

《勒索病毒專(zhuān)題報(bào)道》

現(xiàn)在勒索病毒太多了，如果讀者朋友們有遇到勒索病毒的相關(guān)問(wèn)題，可以找筆者進(jìn)行咨詢(xún)，并歡迎提供如下信息給筆者：

(1)勒索病毒家族最新樣本

(2)勒索病毒提示信息文件

(3)勒索病毒黑客郵箱地址

(4)勒索病毒黑客錢(qián)包地址

(5)勒索病毒攻擊日志信息

(6)勒索病毒暗網(wǎng)網(wǎng)站地址

不需要讀者朋友們提供關(guān)于自己企業(yè)以及客戶(hù)相關(guān)的任何信息，同時(shí)也歡迎大家關(guān)注筆者的微信公眾號(hào)：安全分析與研究，獲取最新的惡意軟件威脅情報(bào)信息。

如果想了解更多關(guān)于勒索病毒專(zhuān)題相關(guān)信息，可以加入勒索病毒專(zhuān)題知識(shí)星球，里面專(zhuān)門(mén)分享最新的勒索病毒威脅情報(bào)，可以第一時(shí)間獲取勒索病毒的最新情報(bào)。