近日，亚信安全网络监测实验室监测到大量GlobeImposter勒索病毒在我国传播，此次勒索病毒变种繁多，被加密后的文件扩展名也各不相同，包括.crypted!、.doc和.TRUE等。GlobeImposter勒索病毒主要是通过垃圾邮件进行传播，与以往不同的是，此次变种会通过邮件来告知受害者付款方式，勒索赎金从1到10比特币不等。亚信安全相关产品已经可以检测GlobeImposter家族，并将其命名为RANSOM_FAKEGLOBE。

亚信安全详解病毒技术细节

Globelmposter家族首次出现时间为2017年5月，近日再次活跃，并有大量变种来袭。亚信安全已经拦截该家族的最新变种，将其命名为RANSOM_FAKEGLOBE.THAOLAH。

该病毒在被感染系统中生成如下自身拷贝文件：

• %Application Data%\{ Malware name }.exe

为达到自启动目的，该病毒添加如下注册表键值：

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce BrowserUpdateCheck = %Application Data%\{Malware name}.exe

该病毒避免加密文件名中含有下列字符串的文件：

• {Malware name }

• how_to_back_files.html

• {GUID}

该病毒避免加密下列文件夹中的文件：

• Windows

• Microsoft

• Microsoft Help

• Windows App Certification Kit

• Windows Defender

• ESET

• COMODO

• Windows NT

• Windows Kits

• Windows Mail

• Windows Media Player

• Windows Multimedia Platform

• Windows PhoneKits

• Windows Phone Silverlight Kits

• Windows Photo Viewer

• WindowsPortable Devices

• Windows Sidebar

• WindowsPowerShell

• NVIDIA Corporation

• Microsoft.NET

• Internet Explorer

• Kaspersky Lab

• McAfee

• Avira

• spytech software

• Sysconfig

• Avast

• Dr.Web

• Symantec

• Symantec_Client_Security

• system volume information

• AVG

• Microsoft Shared

• Common Files

• Outlook Express

• Movie Maker

• Chrome

• Mozilla Firefox

• Opera

• YandexBrowser

• Ntldr

• Wsus

• ProgramData

被加密后的文件扩展名为：

• crypted!

其会在加密文件路径下，生成如下勒索提示信息文件：

• how_to_back_files.html

生成的勒索提示文件，主要包括受害者个人的ID序列号和勒索者的联系方式：