對勒索病毒GandCrab5.1的一次成功應急響應(附解密工具+加密樣本)
*本文原創作者:redwand,本文屬 FreeBuf 原創獎勵計劃,未經許可禁止轉載
正月十五元晚上,在家剛吃完元宵接到電話,朋友公司遭受勒索病毒攻擊,資料庫檔案被加密,黑客通過暗網勒索 15000 美金贖金。一聽勒索軟體,頓時覺得頭大,只好死馬當活馬醫了,開始行動。先看下病毒在每個目錄留下的 txt 檔案 CVMKJ-DECRYPT.txt。 
可以看到該病毒的名稱及版本,GandCrab v5.1,一頓百度,瞭解到,之前已經有某安全廠商對此病毒進行了一系列分析,直接拿來主義,站在巨人肩膀上。病毒加密檔案如下,已脫密處理:
經瞭解,該病毒為 GrandCrab 家族的最新變種,採用 RSA+AES 結合的加密演算法,中毒後多目錄下會儲存一個名為 CVMKJ-DECRYPT.txt 的檔案,且檔案字尾.cvmkj 為隨機字元,本案例中為.cvmkj。該入侵一般通過 rdp 弱口令爆破登陸,後通過 url 下載病毒,或通過手動投毒。為擴大戰果,通過下載內網掃描工具,繼續對內網進行爆破掃描。
回到本案例,檢視日誌,發現 windows envent log 服務被關閉,系統安全日誌被整段刪除,由 2015 年底一下跳到應急 2019 年 2 月 20 日。在一番 kill 相關程序後,windows envent log 重啟成功,隨後繼續排查。 
檢視本地使用者,發現 Administrators 組中多出一個名為 admin1 的管理員使用者,命令 net user admin1,發現該使用者為 Administrators 組成員,且最近登入時間為 2019 年 2 月 19 日 01:08,說明該伺服器已經完全淪為黑客肉雞。 
繼續排查,通過刪除檔案恢復,發現黑客曾經在 download 目錄中下載了 NLBrute 1.2 工具,並且使用名為 passCina1.txt 的密碼字典進行了內網爆破。通過詢問管理員,發現管理員使用弱口令密碼,更確信黑客通過 rdp 爆破入侵。隨後使用 Process Monitor 對記憶體中的程序進行監控分析,未發現病毒樣本,重新建立相關資料檔案,重起伺服器,未發現新檔案被加密。經詢問管理員得知,管理員在第一時間在程序管理中發現一個名為 process hack2 的程序,並將其刪除。
正當焦頭爛額,無計可施之際,上海安服朋友群內推送一篇文章,國外大牛於 2019 年 2 月 19 日剛釋出了 GandCrab v5.1 解密工具 ,但還無人測試成功,本著死馬當活馬醫的態度,下載測試之。 
接下來,就發生了見證奇蹟的時刻,一條條 ok 記錄出現在軟體輸出欄內,再去對應路徑檢視檔案,真的解密成功了!上面為 20190204 檔案被加密原始檔,型別 CVMKJ,下面為 20190220 解密後得到 office 檔案。 
最後,本著開源精神,公佈工具下載連結,由於在 fb 編輯器上未找到附件上傳,需要樣本的可以聯絡我,我將提供下圖中的 client.log 作為測試樣本。 