近日，终端安全团队收到一起安全求助，用户反馈其主机文件被加密，加密后缀为”.perfection”。通过安全专家的深入分析，发现这次勒索事件比较特别，虽然只有一种文件加密后缀，然而事实上是中了两种不同的勒索病毒，分别为MedusaLocker和GlobeImposter。

如下为加密现场，可以看到同时有MedusaLocker和GlobeImposter这两种勒索家族的勒索信息，其中GlobeImposter的勒索信息文件已经被加密：

在中毒主机中发现了MedusaLocker和GlobeImposter的勒索病毒文件，分别命名为”perf1.exe”和”perf2.exe”，如下：

下图左侧为MedusaLocker，右侧为GlobeImposter的勒索信息，可以看到其联系邮箱相同：

我们知道，不同家族的勒索病毒由于其加密方式不同，所以解密方式也不相同，多次加密往往会对解密造成更大的困难以及不确定因素，因此会造成更大的危害。

MedusaLocker及GlobeImposter勒索病毒都不具备主动传播行为，通常通过钓鱼邮件、RDP暴破等方式进行传播。在攻击现场，通过排查日志可以看到攻击方式为RDP暴破，如下为登录成功记录：

同时在中毒主机上发现了多种黑客工具，主要用于内网扫描、窃取密码、关闭防火墙等：

本文作者：Further_eye

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/163177.html