预警:GandCrab勒索病毒国庆节前升级到5.0,勒索金额翻倍

近日,腾讯御见威胁情报中心监控到,GandCrab勒索病毒家族已升级到5.0。GandCrab勒索病毒从年初出现至今,这是第5个大版本升级,GandCrab勒索病毒家族是2018年最为活跃的勒索病毒家族之一。鉴于还有两个工作日就迎来国庆长假,腾讯御见威胁情报中心特别提醒企业网管应高度警惕GandCr

0×1 概述

近日,腾讯御见威胁情报中心监控到,GandCrab勒索病毒家族已升级到5.0。GandCrab勒索病毒从年初出现至今,这是第5个大版本升级,GandCrab勒索病毒家族是2018年最为活跃的勒索病毒家族之一。鉴于还有两个工作日就迎来国庆长假,腾讯御见威胁情报中心特别提醒企业网管应高度警惕GandCrab勒索病毒的破坏活动。

本次捕获的GandCrab勒索病毒5.0版,其PayLoad使用PowerShell解码并最终注入到PowerShell进程中执行,主要变化为加密文件扩展后缀变为随机5位英文字符。加密完成后会修改用户桌面壁纸进一步提示用户勒索信息,GandCrab勒索病毒5.0版的勒索金额也由此前的499美元提升到了998美元,整整涨了一倍。

GandCrab勒索病毒家族会通过多种方式重点针对企业网络进行攻击传播,一旦企业信息系统遭遇攻击,暂时无法解密,如果没有重要系统的数据备份,将会带来不可逆转的损失。

GandCrab勒索病毒家族的主要传播方式:

1.RDP爆破(3389端口),VNC爆破(5900端口);

2.垃圾邮件传播(恶意网址链接和邮件附件);

3.U盘、移动硬盘自动播放功能传播;

4.捆绑、隐藏在一些破解、激活、游戏工具中传播

5.感染Web目录下的EXE文件,若网站服务器被感染,则可能导致访问该网站的电脑被感染;

6.利用RigEK、FalloutEK漏洞工具包,进行网页挂马攻击;

从以上病毒传播方式可以得出结论,GandCrab勒索病毒家族会对企业和个人用户都产生严重威胁,不同的是,个人用户的数据价值较低,在遭遇勒索病毒之后,一般选择重装系统。但企业用户就会蒙受重大损失,部分没有可靠备份系统的企业,就可能被勒索成功。

和以往的版本一样,GandCrab 5.0勒索病毒检测到系统为俄语版本或多个俄语系国家时(比如俄罗斯、乌克兰、格鲁吉亚、阿塞拜疆等),会停止运行,并删除自身。

0×2 样本分析

1.png

本次GandCrab5.0使用PowerShell-Base64解码Payload后注入PowerShell进程进一步执行,PayLoad为GandCrab-DLL模块

2.png

DLL代码入口创建主要工作线程

3.png

病毒主要代码会使用花指令干扰静态分析

4.png

病毒会结束文件占用进程,防止文件占用造成加密异常

5.png

获取操作系统版本

6.png

获取当前进程权限

7.png

获取当前输入法语言与419(俄语)比较

8.png

获取当前操作系统语言做白名单过滤

419(俄罗斯)422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克)

9.png

如果为俄语,或操作系统语言在白名单则直接退出自删除

10.png

获取当前操作系统信息

11.png

获取安全软件信息列表

12.png

异或解密出信息上传域名列表

13.png

列表使用分号分割,提取其中一个域名使用

14.png

进行域名拼接随机的路径名,文件名构造URL

15.png

POST发送感染机器信息

16.png

解密出大量加密扩展后缀

17.png

创建线程遍历遍历磁盘根目录文件进行加密

18.png

病毒还会遍历局域网共享目录进行文件加密

19.png

加密文件会过滤加密放行目录

20.png

创建勒索信息提示文件写入GandCrab5.0勒索信息

21.png

过滤白名单不加密文件

22.png

过滤白名单不加密文件

23.png

随机生成5字符扩展后缀用于加密后文件后命名

24.png

读取文件数据加密

25.png

最终调用wmic删除卷影信息

26.png

文件加密后添加XZUTW扩展后缀

27.png

同时修改用户壁纸展示勒索信息

28.png

勒索文档要求用户使用Tor浏览器访问指定地址购买解密工具

29.png

要求受害者支付998美元的比特币或达世币来购买解密工具

0×3 安全建议

1、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据(数据库等数据)进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

7、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

0929.png

IOCs

MD5:

cca83e4e6a69dec62420c6e76c6d375d

8efee97b16781c0073363a3517c12763

URL:

https://pastebin.com/raw/BfkaVKXp

1

取消
Loading...

相关推荐

css.php