GandCrab勒索病毒于年1月面世以来,短短一年内历经多次版本更新,目前最新的版本为V5。该病毒利用多种方式对企业网络进行攻击传播,受感染主机上的数据库、文档、图片、压缩包等文件将被加密,若没有相应数据或文件的备份,将会影响业务的正常运行。从今年9月份V5版本面世以来,GandCrab出现了包括了5.0、5.0.2、5.0.3、5.0.4以及最新的5.0.5多个版本的变种。病毒采用Salsa20和RSA-算法对文件进行加密,并修改文件后缀为.GDCB、.GRAB、.KRAB或5-10位随机字母,勒索信息文件为GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、[5-10随机字母]-DECRYPT.html\txt,并将感染主机桌面背景替换为勒索信息图片。
二、病毒分析
1、传播方式
GandCrab病毒家族主要通过RDP暴力破解、钓鱼邮件、捆绑恶意软件、僵尸网络以及漏洞利用传播。病毒本身不具有蠕虫传播能力,但会通过枚举方式对网络共享资源进行加密,同时攻击者往往还会通过内网人工渗透方式,利用口令提取、端口扫描、口令爆破等手段对其他主机进行攻击并植入该病毒。
2、影响范围
Windows系统
3、近期版本变更
5.0:
第一个版本中,需要调用xpsprint.dll,但该文件在WindowsVista和XP中不存在,因此无法在上述系统中运行。
第二个版本不再使用固定的.CRAB或.KRAB加密后缀名,而是5个字母的随机后缀名。
5.0.1:
此版本修复了一些程序内部错误,但没有进行其他重大更改。
5.0.2:
此版本将随机扩展名长度从5个字符更改为10个字符,并修复了一些内部错误。
5.0.3:
此版本会通过释放名为wermgr.exe的恶意程序来执行加密操作。
5.0.4:
修复了不能在WindowsVista和XP系统中运行的错误,硬编码了一张人像图片,并在病毒运行时释放到磁盘中。
5.0.5:
更换了加密密钥,以对抗Bitdefender等厂商提供的解密工具。混合加密,除非拿到黑客掌握的私钥,否则解密的可能性微乎其微。因此,应对勒索病毒攻击,做好网络安全防范措施最为关键。
三、样本分析
病毒行为:
1、结束以下进程,其中包括数据库、office套件、游戏客户端等:
mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe
2、检测键盘布局,对指定语言区域主机不进行加密,如俄罗斯,但不包含中国。
3、遍历本地磁盘及网络共享资源,加密除白名单以外的所有文件,并生成勒索信息文件,其中白名单包括文件扩展名、系统目录及系统文件(加密白名单详见附录)。
获取网络磁盘:
目录遍历:
加密白名单:
文件加密:
4、调用系统命令(WMIC.exeshadowcopydelete),从磁盘删除用于备份的卷影副本。
5、修改当前用户桌面背景为勒索信息图片,其中还包括病毒版本信息。
6、修改桌面背景后,开始访问指定域名的80及端口(完整域名列表见附录)。
7、整个加密过程完成后,执行自删除操作。
四、排查与处置方法
(1)排查方法:
1.检查系统是否安装了最近系统漏洞补丁包;
2.检查系统是否开启了端口的RDP网络共享协议,查看日志是否有暴力破解日志;
3.检查系统是否开启了端口的SMB网络共享协议或者不必要的系统服务端口;
4.检查系统是否存在随即后缀名加密文件;
5.检查桌面是否存在来历不明的图片。
(2)处置方案:
1.检测方法
网络层:通过出口防火墙或其他类似安全设备,对以下域名/IP的请求进行检测,以发现其他感染主机。
主机层:
检查桌面背景是否被更改为勒索信息图片;
查看是否存在相关加密文件,如:5-10随机字母后缀文件;
查看磁盘根目录是否存在勒索信息文件,如:[5-10随机字母]-DECRYPT.txt。
(3)清理方案:
GandCrab在执行完文件加密后会进行自删除,不会驻留系统,也不会添加自启动相
转载请注明:http://www.wangguoqiangq.com/sglbwh/7656.html
