2019-11-28 22:03:03
近日有中毒客户提供病毒加密文件样本,出现.Zeus865、.Persephone865、.Artemis865-20、Zeus865qq、Demeter865qq、Bacchus865qq的加密文件后缀,经过分析此加密样本与GlobeImposter加密机制基本一直,使用AES+RES加密算法,病毒留下信息也基本相符,由此国瑞IT判断此为GlobeImposter3.0新变种,根据以往此类型变种规则推断,陆续还会出现其他.希腊神话人物英文名称+865、+865qq、+865-20的后缀。
病毒说明图示:
文件被加密图示:
预计此前出现的666后缀名称会陆续变为865、865qq、865-10、865-20,如:
.Hermes865、.Hermes865qq、.Hermes865-10、.Hermes865-20
.Dionysus865、.Dionysus865qq、.Dionysus865-10、.Dionysus865-20
.Hera865、.Hera865qq、.Hera865-10、.Hera865-20
.Hestia865、.Hestia865qq、.Hestia865-10、.Hestia865-20
.Demeter865、.Demeter865qq、.Demeter865-10、.Demeter865-20
.Persephone865、.Persephone865qq、.Persephone865-10、.Persephone865-20
.Hades865、.Hades865qq、.Hades865-10、.Persephone865-20
.Aphrodite865、.Aphrodite865qq、.Aphrodite865-10、.Persephone865-20
.Bacchus865、.Bacchus865qq、.Bacchus865-10、.Persephone865-20
.Poseidon865、.Poseidon865qq、.Poseidon865-10、.Persephone865-20
.Ares865、.Ares865qq、.Ares865-10、.Persephone865-20
.Aphrodite865、.Aphrodite865qq、.Aphrodite865-10、.Persephone865-20
.Zeus865、.Zeus865qq、.Zeus865-10、.Persephone865-20
.Hephaestus865、.Hephaestus865qq、.Hephaestus865-10、.Persephone865-20
.Artemis865、.Artemis865qq、.Artemis865-10、.Persephone865-20
.Apolon865、.Apolon865qq、.Apolon865-10、.Persephone865-20
.Athena865、.Athena865qq、.Athena865-10、.Persephone865-20
...
由此我们预测病毒已经完成新一轮升级,也可能会发生新一轮针对机构单位的攻击高峰,请广大机构单位做好防御措施。
----------------------------------------------------------------------------------------------------------------------------
安全事件急响应热处理请联系我们,24小时应急响应热线 :18910108696 王工,微信同号