加强版GlobeImposter勒索病毒来袭 亚信安全详解病毒技术细节

　　原标题：加强版GlobeImposter勒索病毒来袭 亚信安全详解病毒技术细节

　　近日，亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播，此次勒索病毒变种繁多，被加密后的文件扩展名也各不相同，包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播，与以往不同的是，此次变种会通过邮件来告知受害者付款方式，勒索赎金从1到10比特币不等。亚信安全相关产品已经可以检测GlobeImposter家族，并将其命名为RANSOM_FAKEGLOBE。

　　亚信安全详解病毒技术细节

　　Globelmposter家族首次出现时间为2017年5月，近日再次活跃，并有大量变种来袭。亚信安全已经拦截该家族的最新变种，将其命名为RANSOM_FAKEGLOBE.THAOLAH。

　　该病毒在被感染系统中生成如下自身拷贝文件：

　　· %Application Data%\\{ Malware name }.exe

　　为达到自启动目的，该病毒添加如下注册表键值：

　　· HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce BrowserUpdateCheck = %Application Data%\\{Malware name}.exe

　　该病毒避免加密文件名中含有下列字符串的文件：

　　· {Malware name }

　　· how_to_back_files.html

　　· {GUID}

　　该病毒避免加密下列文件夹中的文件：

　　· Windows

　　· Microsoft

　　· Microsoft Help

　　· Windows App Certification Kit

　　· Windows Defender

　　· ESET

　　· COMODO

　　· Windows NT

　　· Windows Kits

　　· Windows Mail

　　· Windows Media Player

　　· Windows Multimedia Platform

　　· Windows PhoneKits

　　· Windows Phone Silverlight Kits

　　· Windows Photo Viewer

　　· WindowsPortable Devices

　　· Windows Sidebar

　　· WindowsPowerShell

　　· NVIDIA Corporation

　　· Microsoft.NET

　　· Internet Explorer

　　· Kaspersky Lab

　　· McAfee

　　· Avira

　　· spytech software

　　· Sysconfig

　　· Avast

　　· Dr.Web

　　· Symantec

　　· Symantec_Client_Security

　　· system volume information

　　· AVG

　　· Microsoft Shared

　　· Common Files

　　· Outlook Express

　　· Movie Maker

　　· Chrome

　　· Mozilla Firefox

　　· Opera

　　· YandexBrowser

　　· Ntldr

　　· Wsus

　　· ProgramData

　　被加密后的文件扩展名为：

　　· crypted!

　　其会在加密文件路径下，生成如下勒索提示信息文件：