针对SQL Server数据库文件的勒索病毒变种再现江湖

  • A+
所属分类:安全新闻

安全分析与研究

专注于全球恶意软件的分析与研究

勒索病毒

Globelmposter勒索病毒首次出现于2017年5月,主要通过钓鱼邮件进行传播,2018年2月国内几个医院被Globelmposter勒索病毒2.0变种加密勒索,通过溯源分析发现此勒索病毒主要通过RDP爆破方式进行攻击传播,随后的几年时间里,这个勒索病毒一直在变种,最近有朋友通过微信找到咨询勒索病毒相关情报,如图所示:

针对SQL Server数据库文件的勒索病毒变种再现江湖

该勒索病毒提示信息文件HOW TO BACK YOUR FILES.txt,如下所示:

针对SQL Server数据库文件的勒索病毒变种再现江湖

加密后的文件后缀名:Globeimposter-Alpha666qqz,黑客邮件地址:

[email protected],通过初步判断此勒索病毒应该为Globelmposter勒索病毒家族的变种版本,主要加密服务器上SQL Server数据库类型的文件,例如:MDF、LDF、NDF等后缀名的文件。


发展历史

这款勒索病毒是最近几年非常活跃的几大主流勒索病毒之一,同时也是连续两年被笔者评为“全球十大流行勒索病毒”之一,可以查看公众号之前的文章:

《2019年全球十大流行勒索病毒》

《2020年全球十大流行勒索病毒》

现在笔者给大家整理一下这款勒索病毒的发展历史,相关变种出现的时间线,如下所示:

针对SQL Server数据库文件的勒索病毒变种再现江湖

从十二生肖变种开始,相关的加密后缀名:

(1)十二生肖版本

Ox4444、Snake4444、Rat4444、

Tiger4444、Rabbit4444、Dragon4444、

Horse4444、Goat4444 、Monkey4444 、

Rooster4444 、Dog4444 、Pig4444

(2)十二主神版本

Ares666、Zeus666、Aphrodite666、

Apollon666、Poseidon666、Artemis666、

Dionysus666、Hades666、Persephone666、

Hephaestus666、Hestia666、Athena666

(3)十二生肖/主神变种版本一

Ares865、Zeus865、Aphrodite865、

Apollon865、Poseidon865、Artemis865、

Dionysus865、Hades865、Persephone865、

Hephaestus865、Hestia865、Athena865

(4)十二生肖/主神变种版本二

Ares865-20、Zeus865-20、

Aphrodite865-20、Apollon865-20、

Poseidon865-20、Artemis865-20、

Dionysus865-20、Hades865-20、

Persephone865-20、Hephaestus865-20、

Hestia865-20、Athena865-20

(5)十二生肖/主神变种版本三

Ares865qq、Zeus865qq、

Aphrodite865qq、Apollon865qq、

Poseidon865qq、Artemis865qq、

Dionysus865qq、Hades865qq、

Persephone865qq、Hephaestus865qq、

Hestia865qq、Athena865qq

(6)十二生肖/主神变种版本四

Ox4865qqz、Snake865qqz、

Rat865qqz、Tiger865qqz、

Rabbit865qqz、Dragon865qqz、

Horse865qqz、Goat865qqz 、

Monkey865qqz 、Rooster865qqz 、

Dog865qqz 、Pig865qqz

(7)十二生肖/主神变种版本五

Globeimposter-Alpha865qqz

Globeimposter-Beta865qqz

Globeimposter-Delta865qqz......

(8)十二生肖/主神变种版本六

Globeimposter-Alpha666qqz

Globeimposter-Beta666qqz

Globeimposter-Delta666qqz......


威胁情报

Globelmposter勒索病毒是最近几年一直很活跃的勒索病毒,与CrySiS勒索病毒一样,这两款勒索病毒在2018年开始在国内流行起来,这两款勒索病毒最开始都是以RDP爆破的方式进行勒索攻击,最近笔者发现的CrySiS勒索病毒最新的变种开始使用钓鱼邮件+社会工程学的方式进行攻击,为了逃避边界防火墙的拦截,这些黑客组织还会利用一些已经攻陷的正常网站来传播勒索病毒,详细的信息可以查看之前的文章,里面有对攻击手法的详细分析介绍。

《勒索DASH币CrySiS最新变种的同源分析》


相比Sodinokibi(REvil)、Avaddon、Netwalker、DarkSide等现在主流的几款勒索病毒家族,CrySiS和Globelmposter这两款勒索病毒出现的时间都比他们要早,眼看这些新型的勒索病毒组织纷纷加入BGH活动“赚大钱”,与他们一起流行的GandCrab勒索病毒更是早早的“发财上岸”了,估计这两款“老牌”的流行勒索病毒也"坐不住"了,不再像之前使用过于单一的攻击方式,正在尝试结合使用其他更多的攻击方法。


勒索病毒最近几年一直很活跃,而且现在已经逐步转向成使用各种APT攻击的方法进行定向攻击传播,有很多朋友通过微信、知乎等方式联系笔者进行相关的咨询,笔者也被朋友们戏称为:“勒索病毒百科全书”,“病毒家族AI人肉鉴定引擎”,“溯源分析AI人肉分析机”等,如果读者朋友们有被勒索病毒或其他恶意软件攻击等相关的问题,欢迎咨询,也可以查看勒索病毒专题报道。

《勒索病毒专题报道》


现在勒索病毒太多了,如果读者朋友们有遇到勒索病毒的相关问题,可以找笔者进行咨询,并欢迎提供如下信息给笔者:

(1)勒索病毒家族最新样本

(2)勒索病毒提示信息文件

(3)勒索病毒黑客邮箱地址

(4)勒索病毒黑客钱包地址

(5)勒索病毒攻击日志信息

(6)勒索病毒暗网网站地址

不需要读者朋友们提供关于自己企业以及客户相关的任何信息,同时也欢迎大家关注笔者的微信公众号:安全分析与研究,获取最新的恶意软件威胁情报信息。

如果想了解更多关于勒索病毒专题相关信息,可以加入勒索病毒专题知识星球,里面专门分享最新的勒索病毒威胁情报,可以第一时间获取勒索病毒的最新情报。

针对SQL Server数据库文件的勒索病毒变种再现江湖

好了,就写到这里吧,恶意软件安全事件的分析研究与写作是笔者的两大爱好,笔者是个闲不住的人,而且喜欢和善于做自己想做的事,一有点时间就会写些东西跟大家分享,每晚夜深人静的时候,也是静下心来分析和写作的最好时间段,写作已经成为了笔者的一种生活习惯,现在各种安全事件与问题太多了,恶意软件更是无处不在,有空再给大家分享吧。

本文始发于微信公众号(安全分析与研究):针对SQL Server数据库文件的勒索病毒变种再现江湖

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: