警惕!GandCrab 5.1來襲
近日,深信服EDR安全團隊收到客戶反饋,其中一臺伺服器中了勒索病毒,伺服器檔案被加密。經過分析排查發現,該勒索病毒家族為GandCrab。GandCrab勒索病毒是2018年勒索病毒家族中最活躍的家族,該勒索病毒首次出現於2018年1月,在將近一年的時候內,經歷了五個大版本的更新迭代,此勒索病毒的傳播感染多式多種多樣,使用的技術也不斷升級,勒索病毒主要採用RSA+salsa20相結合的加密演算法,導致加密後的檔案,無法被解密。
本次發現的是GandCrab家族的最新版本GandCrab5.1。
一、 入侵分析
檔案加密時間為2019/1/22 4:22左右。排查日誌發現,伺服器在2019/1/224:11:54被遠端登入過。該IP後面又分別在2019/1/22 4:32:45和2019/1/22 5:02:25再次登入該伺服器。登入後,通過瀏覽器下載了勒索病毒體並進行勒索。
勒索完成後,再次通過瀏覽器下載內網掃描工具Advanced IP Scanner 2,試圖勒索更多內網主機。
二、 樣本分析
1.相對於GandCrab之類的版本,GandCrab5.1版本同樣採用了靜態對抗反彙編的方法,阻止安全分析人員對樣本進行靜態分析,如下所示:
2.樣本的勒索資訊版本號變為了5.1,如下所示:
3.遍歷程序,結束相關程序,如下所示:
相關的程序列表如下所示:
msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe dbsnmp.exe、synctime.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe
4.建立互斥變數體,變數名Global\[隨機字串]+[.fuck],如下所示:
5.查詢作業系統安裝的輸入法以及語言版本,GandCrab5.1版本同樣增加了不對敘利亞地區的主機進行加密操作,如下所示:
當作業系統語言為如下國家時,則不進行加密,執行自刪除操作,相應的國家列表如下:
419(LANG_RUSSIAN俄語) 422(LANG_UKRAINIAN烏克蘭) 423(LANG_BELARUSIAN白俄羅斯) 428(LANG_TAJIK塔吉克) 42B(LANG_ARMENIAN亞美尼亞) 42C(亞塞拜然,拉丁美洲(AZ)) 437(LANG_GEORGIAN喬治亞人) 43F(LANG_KAZAK哈薩克族) 440(LANG_KYRGYZ吉爾吉斯) 442(LANG_TURKMEN土庫曼) 443(烏茲別克,拉丁語(UZ))444(LANG_TATAR俄羅斯(RU)) 82C(LANG_AZERI亞塞拜然,西里爾(亞利桑那州)) 843(LANG_UZBEK烏茲別克) 45A(敘利亞SYR)2801(敘利亞SY)
6.獲取主機相關資訊,如下所示:
獲取的相關資訊列表如下:
使用者名稱
主機名
工作組
作業系統語言
作業系統鍵盤輸入法
作業系統版本型別資訊
CPU型別及型號資訊
安全軟體資訊
磁碟型別及空間資訊
遍歷主機上的安全軟體,收集安全軟體相關資訊,相應的安全軟體資訊,如下所示:
相應的安全軟體列表資訊,如下所示:
AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe cfp.exe、msmpeng.exe
將收集到的資訊,進行加密,加密過程,如下所示:
加密後的資料,如下所示:
7. 從記憶體中解密出RSA公鑰資訊,如下所示:
生成再通過微軟的函式生成RSA公私鑰對,如下所示:
生成的RSA的公私鑰,並設定到相應的登錄檔,如下所示:
8.記憶體解密出勒索資訊等字串,如下所示:
9. 然後生成隨機的加密字尾名,並轉化為大寫字母,如下所示:
10. 建立兩個執行緒,分別遍歷磁碟目錄和共享目錄資料夾下的檔案進行加密,遍歷磁碟目錄,如下所示:
遍歷共享目錄檔案,如下所示:
11. 從記憶體中解密出相應的加密檔案字尾名列表以及相應的目錄,如下所示:
相應的字尾名列表,如下所示:
rar zip cab arj lzh tar 7z gzip iso7-zip lzma vmx vmdk vmem vdi vbox 1st602 doc xlm xlsx xlsm xltx xltm xlsb xla xlam xll xlw ppt pot pps pptx pptmpotx potm ppam ppsx ppsm sldx sldm xps xls xlt doc dotm docx abw act adoc aimans apkg apt asc asc ascii ase aty awp awt aww bad bbs bdp bdr bean bib bibbibtex bml bna boc brx btd bzabw cal ca charset chart chord cnm cod crwl cwscyi dca dfti dgs diz dne dot doc docm dotx docx doc xml docz dox dropbox dscdvi dwd dx dxb dxp eio eit emf eml emlx emulecollection epp err etf etx eucfadeintemplate faq fbl fcf fdffdr fds fdt fdx fdxt fft fgs flr fodt fountainfpt frt fwd fwdn gmd gpd gpn gsd gthr gv hbk hht hs hwp hwp hz idx iil ipfipspot jarvis jis jnp joe jp1 jrtf jtd kes klg knt kon kwd latex lbtlis lnt loglp2 lst lst ltr ltx lue luf lwp lxfml lyt lyx man mbox mcw md5 me mell mellelmin mnt msg mw mwd mwp nbndoc nfo ngloss njx note notes now nwctxt nwm nwp ocrodif odm odo odt ofl opeico openbsd ort ott p7s pages pages-tef pdpcmd pfx pjtplain plantumlpmo prt prt psw pu pvj pvm pwd pwdp pwdpl pwi pwr qdl qpf radreadme rft ris rpt rst rtd rtf rtfd rtx run rvf rzk rzn saf safetext sam samsave scc scm scriv scrivx sct scw sdm sdoc sdw se session sgm sig skcard slaslagzsmf sms ssa story strings stw sty sublime-project sublime-workspace sxgsxw tab tab tdf tdf template text textclipping thp tlb tm tmd tmdx tmv tmvx tpctrelby tvj txt u3i unauth unx uof uot upd utf8 utxt vct vntvw wbk webdoc wn wpwp4 wp5 wp6 wp7 wpa wpd wpd wpd wpl wps wpswpt wpt wpw wri wsd wtt wtx xbdoc xbplatexdl xdl xwp xwp xwp xyxy3 xyp xyw zabw zrtf zw ani cab cpl cur diagcab diagpkgdrv lock hlpldf icl icnsico ics lnk key idx mod mpa msc msp msstyles msunomedia ocx prf rom rtp scr shs spl sys theme
遍歷磁碟如果為以下目錄,則不加密檔案,相應的目錄列表,如下所示:
\ProgramData\ \IEIldCache\ \Boot\ \Program Files\ \Tor Browser\ \All Users\ \Local Settings\ \Windows\
12. 遍歷檔案進行加密,如下所示:
加密後的檔案,字尾為隨機的字尾名,如下所示:
13. 加密之後,將之前獲取的主機相關資訊加密之後,上傳到遠端伺服器,如下所示:
相應的遠端伺服器地址: www.kakaocorp.link
14.生成相應的勒索資訊文字檔案,如下所示:
並設定勒索資訊桌面背景圖片,如下所示:
15. 開啟相應的TOR網路地址,如下所示:
解決方案
針對已經出現勒索現象的使用者,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。提醒廣大使用者儘快做好病毒檢測與防禦措施,防範此次勒索攻擊。
病毒檢測查殺
可下載如下工具,免費進行檢測查殺。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
病毒防禦
1、及時給電腦打補丁,修復漏洞。 2、對重要的資料檔案定期進行非本地備份。 3、不要點選來源不明的郵件附件,不從不明網站下載軟體。 4、儘量關閉不必要的檔案共享許可權。 5、更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。
*本文作者: