GANDCRAB V5.0.4 勒索病毒分析报告

0×1 概述

近日情报中心监控到，GandCrab勒索病毒家族已升级到5.0。GandCrab勒索病毒从年初出现至今，这是第5个大版本升级，GandCrab勒索病毒家族是2018年最为活跃的勒索病毒家族之一。鉴于还有两个工作日就迎来国庆长假，特别提醒企业网管应高度警惕GandCrab勒索病毒的破坏活动。

本次捕获的GandCrab勒索病毒5.0版，其PayLoad使用PowerShell解码并最终注入到PowerShell进程中执行，主要变化为加密文件扩展后缀变为随机5位英文字符。加密完成后会修改用户桌面壁纸进一步提示用户勒索信息，GandCrab勒索病毒5.0版的勒索金额也由此前的499美元提升到了998-10000美元，涨了N倍。

GandCrab勒索病毒家族会通过多种方式重点针对企业网络进行攻击传播，一旦企业信息系统遭遇攻击，暂时无法解密，如果没有重要系统的数据备份，将会带来不可逆转的损失。

GandCrab勒索病毒家族的主要传播方式：

1.RDP爆破（3389端口），VNC爆破（5900端口）；

2.垃圾邮件传播（恶意网址链接和邮件附件）；

3.U盘、移动硬盘自动播放功能传播；

4.捆绑、隐藏在一些破解、激活、游戏工具中传播

5.感染Web目录下的EXE文件，若网站服务器被感染，则可能导致访问该网站的电脑被感染；

6.利用RigEK、FalloutEK漏洞工具包，进行网页挂马攻击；

从以上病毒传播方式可以得出结论，GandCrab勒索病毒家族会对企业和个人用户都产生严重威胁，不同的是，个人用户的数据价值较低，在遭遇勒索病毒之后，一般选择重装系统。但企业用户就会蒙受重大损失，部分没有可靠备份系统的企业，就可能被勒索成功。

和以往的版本一样，GandCrab 5.0勒索病毒检测到系统为俄语版本或多个俄语系国家时（比如俄罗斯、乌克兰、格鲁吉亚、阿塞拜疆等），会停止运行，并删除自身。

0×2 样本分析

本次GandCrab5.0使用PowerShell-Base64解码Payload后注入PowerShell进程进一步执行，PayLoad为GandCrab-DLL模块

DLL代码入口创建主要工作线程

病毒主要代码会使用花指令干扰静态分析

病毒会结束文件占用进程，防止文件占用造成加密异常

获取操作系统版本

获取当前进程权限

获取当前输入法语言与419（俄语）比较

获取当前操作系统语言做白名单过滤

419（俄罗斯）422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克)

如果为俄语，或操作系统语言在白名单则直接退出自删除

获取当前操作系统信息

获取安全软件信息列表

异或解密出信息上传域名列表

列表使用分号分割，提取其中一个域名使用

进行域名拼接随机的路径名，文件名构造URL

POST发送感染机器信息

解密出大量加密扩展后缀

创建线程遍历遍历磁盘根目录文件进行加密

病毒还会遍历局域网共享目录进行文件加密

加密文件会过滤加密放行目录

创建勒索信息提示文件写入GandCrab5.0勒索信息

过滤白名单不加密文件

过滤白名单不加密文件

随机生成5字符扩展后缀用于加密后文件后命名

读取文件数据加密

最终调用wmic删除卷影信息

文件加密后添加XZUTW扩展后缀

同时修改用户壁纸展示勒索信息

勒索文档要求用户使用Tor浏览器访问指定地址购买解密工具

要求受害者支付****美元的比特币或达世币来购买解密工具

0×3 安全建议

1、 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据（数据库等数据）进行定期非本地备份。

6、 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。