针对SQL Server数据库文件的勒索病毒变种再现江湖

勒索病毒

Globelmposter勒索病毒首次出现于2017年5月，主要通过钓鱼邮件进行传播，2018年2月国内几个医院被Globelmposter勒索病毒2.0变种加密勒索，通过溯源分析发现此勒索病毒主要通过RDP爆破方式进行攻击传播，随后的几年时间里，这个勒索病毒一直在变种，最近有朋友通过微信找到咨询勒索病毒相关情报，如图所示：

该勒索病毒提示信息文件HOW TO BACK YOUR FILES.txt，如下所示：

加密后的文件后缀名：Globeimposter-Alpha666qqz，黑客邮件地址：

China.Helper@aol.com，通过初步判断此勒索病毒应该为Globelmposter勒索病毒家族的变种版本，主要加密服务器上SQL Server数据库类型的文件，例如：MDF、LDF、NDF等后缀名的文件。

发展历史

这款勒索病毒是最近几年非常活跃的几大主流勒索病毒之一，同时也是连续两年被笔者评为“全球十大流行勒索病毒”之一，可以查看公众号之前的文章：

《2019年全球十大流行勒索病毒》

《2020年全球十大流行勒索病毒》

现在笔者给大家整理一下这款勒索病毒的发展历史，相关变种出现的时间线，如下所示：

从十二生肖变种开始，相关的加密后缀名：

(1)十二生肖版本

Ox4444、Snake4444、Rat4444、

Tiger4444、Rabbit4444、Dragon4444、

Horse4444、Goat4444 、Monkey4444 、

Rooster4444 、Dog4444 、Pig4444

(2)十二主神版本

Ares666、Zeus666、Aphrodite666、

Apollon666、Poseidon666、Artemis666、

Dionysus666、Hades666、Persephone666、

Hephaestus666、Hestia666、Athena666

(3)十二生肖/主神变种版本一

Ares865、Zeus865、Aphrodite865、

Apollon865、Poseidon865、Artemis865、

Dionysus865、Hades865、Persephone865、

Hephaestus865、Hestia865、Athena865

(4)十二生肖/主神变种版本二

Ares865-20、Zeus865-20、

Aphrodite865-20、Apollon865-20、

Poseidon865-20、Artemis865-20、

Dionysus865-20、Hades865-20、

Persephone865-20、Hephaestus865-20、

Hestia865-20、Athena865-20

(5)十二生肖/主神变种版本三

Ares865qq、Zeus865qq、

Aphrodite865qq、Apollon865qq、

Poseidon865qq、Artemis865qq、

Dionysus865qq、Hades865qq、

Persephone865qq、Hephaestus865qq、

Hestia865qq、Athena865qq

(6)十二生肖/主神变种版本四

Ox4865qqz、Snake865qqz、

Rat865qqz、Tiger865qqz、

Rabbit865qqz、Dragon865qqz、

Horse865qqz、Goat865qqz 、

Monkey865qqz 、Rooster865qqz 、

Dog865qqz 、Pig865qqz

(7)十二生肖/主神变种版本五

Globeimposter-Alpha865qqz

Globeimposter-Beta865qqz

Globeimposter-Delta865qqz……

(8)十二生肖/主神变种版本六

Globeimposter-Alpha666qqz

Globeimposter-Beta666qqz

Globeimposter-Delta666qqz……

威胁情报

Globelmposter勒索病毒是最近几年一直很活跃的勒索病毒，与CrySiS勒索病毒一样，这两款勒索病毒在2018年开始在国内流行起来，这两款勒索病毒最开始都是以RDP爆破的方式进行勒索攻击，最近笔者发现的CrySiS勒索病毒最新的变种开始使用钓鱼邮件+社会工程学的方式进行攻击，为了逃避边界防火墙的拦截，这些黑客组织还会利用一些已经攻陷的正常网站来传播勒索病毒，详细的信息可以查看之前的文章，里面有对攻击手法的详细分析介绍。

《勒索DASH币CrySiS最新变种的同源分析》

相比Sodinokibi(REvil)、Avaddon、Netwalker、DarkSide等现在主流的几款勒索病毒家族，CrySiS和Globelmposter这两款勒索病毒出现的时间都比他们要早，眼看这些新型的勒索病毒组织纷纷加入BGH活动“赚大钱”，与他们一起流行的GandCrab勒索病毒更是早早的“发财上岸”了，估计这两款“老牌”的流行勒索病毒也”坐不住”了，不再像之前使用过于单一的攻击方式，正在尝试结合使用其他更多的攻击方法。

勒索病毒最近几年一直很活跃，而且现在已经逐步转向成使用各种APT攻击的方法进行定向攻击传播，有很多朋友通过微信、知乎等方式联系笔者进行相关的咨询，笔者也被朋友们戏称为：“勒索病毒百科全书”，“病毒家族AI人肉鉴定引擎”，“溯源分析AI人肉分析机”等，如果读者朋友们有被勒索病毒或其他恶意软件攻击等相关的问题，欢迎咨询，也可以查看勒索病毒专题报道。

《勒索病毒专题报道》

现在勒索病毒太多了，如果读者朋友们有遇到勒索病毒的相关问题，可以找笔者进行咨询，并欢迎提供如下信息给笔者：

(1)勒索病毒家族最新样本

(2)勒索病毒提示信息文件

(3)勒索病毒黑客邮箱地址

(4)勒索病毒黑客钱包地址

(5)勒索病毒攻击日志信息

(6)勒索病毒暗网网站地址

不需要读者朋友们提供关于自己企业以及客户相关的任何信息，同时也欢迎大家关注笔者的微信公众号：安全分析与研究，获取最新的恶意软件威胁情报信息。

安全的路很长，贵在坚持！