GandCrab勒索病毒從2018年1月被首次發現之後,僅僅半年的時間,就連續出現了V1.0,V2.0,V2.1,V3.0,V4.0等變種,非常活躍,並且在國內流行度頗高,它會加密圖片、文檔、視頻、壓縮包等文件類型,在原文件名之後加上.GDCB後綴,再向受害者勒索價值約1200美元的達世幣贖金。這也是首個使用達世幣作為贖金的勒索毒。
新型勒索病毒GandCrab近段時間通過網頁掛馬、郵件、漏洞等在國內大肆蔓延,被黑頁面涉及景區、交通等社會服務網點,影響極廣。
不法分子通過製造網頁亂碼,誘導網民下載偽裝為字體更新的病毒程序,進而加密設備上多種類型的文件,索要達世幣贖金。由於該病毒作案手法巧妙,迷惑性極高,網民看到安全軟件攔截提示時,甚至會冒險運行而中招。
病毒分析:
GandCrab勒索病毒不具備感染傳播能力,不會主動對局域網的其他設備發起攻擊,會加密局域網共享目錄文件夾下的文件。
1.樣本經過多層封裝與代碼混淆,代碼會經過幾層解密操作,如下所示:
在內存中解密出勒索病毒Payload代碼,如下所示:
最後進行內存拷貝,屬性更改之後,跳轉到相應的勒索Payload入口點執行勒索操作,如下所示:
2.樣本跳轉到了入口點,相應的反彙編代碼,如下所示:
3.獲取Windows操作系統版本,如下所示:
4.獲取當前運行進程權限,如下所示:
5.遍歷進程,然後結束相關的進程,如下圖所示:
相關的進程列表如下:
msftesql.exe,sqlagent.exe,sqlbrowser.exe,sqlwriter.exe,oracle.exe,ocssd.exe
dbsnmp.exe,synctime.exe,agntsvc.exeisqlplussvc.exe,xfssvccon.exe
sqlservr.exe,mydesktopservice.exe,ocautoupds.exe,agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe,firefoxconfig.exe,tbirdconfig.exe,mydesktopqos.exe
ocomm.exe,mysqld.exe,mysqld-nt.exe,mysqld-opt.exe,dbeng50.exe
sqbcoreservice.exe,excel.exe,infopath.exe,msaccess.exe,mspub.exe
onenote.exe,outlook.exe,powerpnt.exe,steam.exe,sqlservr.exe,thebat.exe
thebat64.exe,thunderbird.exe,visio.exe,winword.exe,wordpad.exe
6.查詢操作系統安裝的輸入法,如下所示:
如果發現系統安裝的輸入法為Russian,則不進行加密操作,執行後面的自刪除操作,如下所示:
在後面的分析中發現這個GandCrab勒索V4.0版本的Payload核心加密代碼與之前分析的Sigrun勒索家族的加密核心代碼非常多的相似之處。
7.獲取操作系統的語言版本,如下所示:
當操作系統語言為如下國家時,則不進行加密,相應的國家列表如下:
419(LANG_RUSSIAN俄語)
422(LANG_UKRAINIAN烏克蘭)
423(LANG_BELARUSIAN白俄羅斯)
428(LANG_TAJIK塔吉克)
42B(LANG_ARMENIAN亞美尼亞)
42C(阿塞拜疆,拉丁美洲(AZ))
437(LANG_GEORGIAN格魯吉亞人)
43F(LANG_KAZAK哈薩克族)
440(LANG_KYRGYZ吉爾吉斯)
442(LANG_TURKMEN土庫曼)
443(烏茲別克斯坦,拉丁語(UZ))
444(LANG_TATAR俄羅斯(RU))
818(未知) 819(未知)
82C(LANG_AZERI阿塞拜疆,西里爾(亞利桑那州))
843(LANG_UZBEK烏茲別克)
相應的反彙編代碼,如下所示:
8.隨機讀取相應目錄下的隨機文件名.lock文件,如下所示:
如果讀取到隨機的lock文件,則退出程序。
9.利用程序中硬編碼的數據,生成加密RSA的公鑰public,如下所示:
相應的public公鑰信息如下:
06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00 01 00 01 00 BB EF 02 46 0B 5E 8C 72 8E A0 A0 31 AE 95 33 82 D6 67 89 32 B2 ED 92 A8 16 0A BC 28 C1 4D 3E 00 A3 DC 48 47 3D E9 9A C1 31 AE 41 C5 E8 22 70 6A 7F 75 98 8F C6 EB EE 65 9B 1B 96 D3 4D AA 3F 75 0B A5 75 E7 71 CD 88 A0 77 E0 CB 2F 33 A2 0D AB E4 E3 40 82 3F D9 95 50 A4 92 56 AA 77 61 05 75 F2 25 81 DA A1 BE 30 A7 CB DA 2B A39E 85 AB 03 8D BB D3 F0 BB 9C 71 9A D4 98 CF C6 C2 A8 62 84 32 85 4C 1B 2C FF E4 D8 D9 E5 2A BB 18 06 08 6A F4 D8 D1 8D 00 E3 41 FC E7 C5 20 25 D2 DD 47 FF 27 09 1F 6D 34 6C 8A 0A EB AB 13 48 09 F6 24 24 98 84 22 DD C1 A1 1C 60 63 06 71 EE 00 4A 21 BA 1F AF 4C 03 D2 C7 3F BA 64 39 35 B4 44 0B 17 5F B5 2C 8C 4E B2 E6 61 B2 23 21 4D AD FB D4 1D 96 4B A1 FC 7F BF 98 78 BB D3 72 F1 E3 46 1F 03 4C 05 18 96 C1 47 C0 A0 6F 17 07 11 10 2B 2D D4 C8
10.獲取主機相關信息,如下所示:
獲取到的相關信息如下:
用戶名、主機名、工作組、操作系統語言、操作系統版本類型信息、安全軟件信息、CPU類型、磁盤空間等信息
pc_user=panda&pc_name=PANDA-PC&pc_group=WORKGROUP&pc_lang=zh-CN&pc_keyb=0&
os_major=Windows 7 Professional&os_bit=x86&ransom_id=4cccd561a9e9938&
hdd=C:FIXED_43850395648/15526735872,D:FIXED_41941987328/2760519680&id=15&sub_id=15&version=4.0.
11.獲取主機中安裝的安全軟件信息,如下所示:
相應的安全軟件列表如下:
AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe
avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe
cfp.exe、msmpeng.exe
12.將獲取到的主機信息,在內存進行加密,如下所示:
13.利用程序中硬編碼的數據作為Key,用於生成RSA加密的公鑰和私鑰,並導出RSA公鑰和私鑰信息,如下所示:
14.將成生的公鑰和私鑰寫入到註冊表項上,如下所示:
生成的RSA私鑰,如下所示:
15.將生成的公鑰與私鑰,導入到註冊表中之後,如下所示:
相應的註冊表項:
HKEY_CURRENT_USER\SOFTWARE\keys_data\data
16.生成勒索信息文件加密Key信息,如下所示:
17.內存拼接生成勒索文件信息,如下所示:
18.創建線程,加密局域網共享目錄文件夾下的文件,如下所示:
19.遍歷磁盤,創建線程,加密磁盤文件,如下所示:
20.遍歷主機或網絡共享目錄的文件目錄,如果為以下文件目錄,則不進行加密,如下圖所示:
相應的文件目錄列表如下:
\\ProgramData\\
\\Boot\\
\\Program Files\\
\\Tor Browser\\
\\Local Settings\\
\\Windows\\
21.將之前生成的勒索信息相應寫入到勒索信息文本文件KRAB-DECRYPT.txt中,如下所示:
22.生成隨機的lock文件,保存感染時間,如下所示:
23.遍歷磁盤目錄下的文件,如果為以下文件,則不進行加密,如下所示:
相應的文件列表如下:
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
KRAB-DECRYPT.html
KRAB-DECRYPT.txt
CRAB-DECRYPT.txt
ntldr
NTDETECT.COM
Bootfont.bin
24.生成以.KRAB為後綴的加密文件,如下所示:
25.加密文件的主過程函數,如下所示:
26.加密完成之後,通過ShellExecuteW函數調用wmic.exe程序,刪除磁盤卷影操作,如下所示:
27.然後彈出勒索信息文件,如下所示:
28.通過提供的鏈接,在tor打開鏈接,如下所示:
通過分析發現,此勒索病毒整體的加密勒索過程與之前版本類似,但是感染方式發生了改變,同時這款勒索病毒沒有了相應的網絡功能,預測後面應該馬上會有相應的V4.1....等版本出現,同時在分析的過程中,發現此勒索病毒的一些功能和之前發現的Sigrun勒索病毒比較類似,這款勒索病毒會針對不同的國家進行感染傳播,如果為某些地區的國家的操作系統,則不進行感染加密。
解決方案 :
國信安全湖北中心態勢感知服務與威脅監測服務可以有效監測、防護及預警此類勒索病毒,如下所示:
注意事項:
3不:
- 不要點擊來源不明的郵件附件
- 不從不明網站下載軟件
- 不要使用弱密碼
3及時:
- 及時給主機打補丁
- 對重要的數據文件及時備份
- 及時為主機進行病毒檢測清理
閱讀更多 國信安全湖北中心 的文章
