freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    预警:GandCrab勒索病毒国庆节前升级到5.0,勒索金额翻倍
    2018-09-29 17:11:20
    所属地 广东省

    0x1 概述

    近日,腾讯御见威胁情报中心监控到,GandCrab勒索病毒家族已升级到5.0。GandCrab勒索病毒从年初出现至今,这是第5个大版本升级,GandCrab勒索病毒家族是2018年最为活跃的勒索病毒家族之一。鉴于还有两个工作日就迎来国庆长假,腾讯御见威胁情报中心特别提醒企业网管应高度警惕GandCrab勒索病毒的破坏活动。

    本次捕获的GandCrab勒索病毒5.0版,其PayLoad使用PowerShell解码并最终注入到PowerShell进程中执行,主要变化为加密文件扩展后缀变为随机5位英文字符。加密完成后会修改用户桌面壁纸进一步提示用户勒索信息,GandCrab勒索病毒5.0版的勒索金额也由此前的499美元提升到了998美元,整整涨了一倍。

    GandCrab勒索病毒家族会通过多种方式重点针对企业网络进行攻击传播,一旦企业信息系统遭遇攻击,暂时无法解密,如果没有重要系统的数据备份,将会带来不可逆转的损失。

    GandCrab勒索病毒家族的主要传播方式:

    1.RDP爆破(3389端口),VNC爆破(5900端口);

    2.垃圾邮件传播(恶意网址链接和邮件附件);

    3.U盘、移动硬盘自动播放功能传播;

    4.捆绑、隐藏在一些破解、激活、游戏工具中传播

    5.感染Web目录下的EXE文件,若网站服务器被感染,则可能导致访问该网站的电脑被感染;

    6.利用RigEK、FalloutEK漏洞工具包,进行网页挂马攻击;

    从以上病毒传播方式可以得出结论,GandCrab勒索病毒家族会对企业和个人用户都产生严重威胁,不同的是,个人用户的数据价值较低,在遭遇勒索病毒之后,一般选择重装系统。但企业用户就会蒙受重大损失,部分没有可靠备份系统的企业,就可能被勒索成功。

    和以往的版本一样,GandCrab 5.0勒索病毒检测到系统为俄语版本或多个俄语系国家时(比如俄罗斯、乌克兰、格鲁吉亚、阿塞拜疆等),会停止运行,并删除自身。

    0x2 样本分析

    1.png

    本次GandCrab5.0使用PowerShell-Base64解码Payload后注入PowerShell进程进一步执行,PayLoad为GandCrab-DLL模块

    2.png

    DLL代码入口创建主要工作线程

    3.png

    病毒主要代码会使用花指令干扰静态分析

    4.png

    病毒会结束文件占用进程,防止文件占用造成加密异常

    5.png

    获取操作系统版本

    6.png

    获取当前进程权限

    7.png

    获取当前输入法语言与419(俄语)比较

    8.png

    获取当前操作系统语言做白名单过滤

    419(俄罗斯)422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克)

    9.png

    如果为俄语,或操作系统语言在白名单则直接退出自删除

    10.png

    获取当前操作系统信息

    11.png

    获取安全软件信息列表

    12.png

    异或解密出信息上传域名列表

    13.png

    列表使用分号分割,提取其中一个域名使用

    14.png

    进行域名拼接随机的路径名,文件名构造URL

    15.png

    POST发送感染机器信息

    16.png

    解密出大量加密扩展后缀

    17.png

    创建线程遍历遍历磁盘根目录文件进行加密

    18.png

    病毒还会遍历局域网共享目录进行文件加密

    19.png

    加密文件会过滤加密放行目录

    20.png

    创建勒索信息提示文件写入GandCrab5.0勒索信息

    21.png

    过滤白名单不加密文件

    22.png

    过滤白名单不加密文件

    23.png

    随机生成5字符扩展后缀用于加密后文件后命名

    24.png

    读取文件数据加密

    25.png

    最终调用wmic删除卷影信息

    26.png

    文件加密后添加XZUTW扩展后缀

    27.png

    同时修改用户壁纸展示勒索信息

    28.png

    勒索文档要求用户使用Tor浏览器访问指定地址购买解密工具

    29.png

    要求受害者支付998美元的比特币或达世币来购买解密工具

    0x3 安全建议

    1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

    2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

    3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

    4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

    5、 对重要文件和数据(数据库等数据)进行定期非本地备份。

    6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

    7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

    0929.png

    IOCs

    MD5:

    cca83e4e6a69dec62420c6e76c6d375d

    8efee97b16781c0073363a3517c12763

    URL:

    https://pastebin.com/raw/BfkaVKXp

    # 勒索病毒 # GandCrab
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者