×

勒索病毒GandCrabV5.0最新变种来袭
  

SANGFOR_智安全 13405

{{ttag.title}}
本帖最后由 某公司_智安全 于 2018-10-17 18:42 编辑

一、样本简介
GandCrab勒索病毒于2018年1月首次出现,在半年的时候之内,迅速发展,短短几个月时间里就出现了V1.0,V2.0,V3.0,V4.0等几个大的版本的更新,V4.0之后又出现了V4.1,V4.2,V4.3,V4.4等几个小版本的变种样本,最近又发现了它的最新变种GandCrabV5.0版本变种样本。

GandCrab的感染方式主要是通过以下几种方式:
(1) RDP爆破
(2) 垃圾邮件,带有恶意链接或附件
(3) 下载捆绑有恶意程序的正常软件
(4) 利用Exploit Kit等漏洞利用工具包

此次发现的GandCrabV5.0的变种样本,通过恶意广告进行分发,利用Fallout Exploit Kit漏洞利用工具包网站传播安装GandCrabV5.0勒索病毒样本。

GandCrabV5.0版本的勒索信息超文本文件相应的内容如下所示:

相应的TOR勒索信息网址,如下所示:



二、样本分析
1.通过Fallout Exploit Kit漏洞利用工具包下载安装GandCrabV5.0勒索病毒的Payload,分析相应的Payload,解密出里面的ShellCode代码,如下所示:

2.执行ShellCode代码,在内存中解密出GandCrabV5.0勒索病毒核心加密模块,然后在内存中加载执行加密体,如下所示:

3.Dump出勒索病毒的核心模块,与之前的4.X变种样本一样,V5.0版的样本同样使用了静态对抗反汇编的方法,如下所示:
去混淆之后,如下所示:
4.样本的勒索信息,版本号变为了V5.0,如下所示:
5.遍历进程,结束相关进程,如下所示:
相关的进程列表如下所示:
msftesql.exe、sqlagent.exe、
sqlbrowser.exe、sqlwriter.exe、
oracle.exe、ocssd.exe
dbsnmp.exe、synctime.exe、
agntsvc.exeisqlplussvc.exe、
xfssvccon.exe
sqlservr.exe、mydesktopservice.exe、
ocautoupds.exe、agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe、firefoxconfig.exe、
tbirdconfig.exe、mydesktopqos.exe
ocomm.exe、mysqld.exe、mysqld-nt.exe、
mysqld-opt.exe、dbeng50.exe
sqbcoreservice.exe、excel.exe、
infopath.exe、msaccess.exe、mspub.exe
onenote.exe、outlook.exe、powerpnt.exe、
steam.exe、sqlservr.exe、thebat.exe
thebat64.exe、thunderbird.exe、visio.exe、
winword.exe、wordpad.exe
6.创建互斥变量体Global\
XlAKFoxSKGOfSGOoSFOOFNOLPE,防止勒索病毒样本重复加密,如下所示:
7.获取Windows操作系统版本,如下所示:
8.获取当前运行进程权限,如下所示:

9.查询操作系统安装的输入法,如下所示:

如果操作系统为输入法为Russian,则不进行加密操作,执行后面的自删除操作,如下所示:
获取操作系统的语言版本,如下所示:
当操作系统语言为如下国家时,则不进行加密,执行自删除操作,相应的国家列表如下:
419(LANG_RUSSIAN俄语)
422(LANG_UKRAINIAN乌克兰)
423(LANG_BELARUSIAN白俄罗斯)
428(LANG_TAJIK塔吉克)
42B(LANG_ARMENIAN亚美尼亚)
42C(阿塞拜疆,拉丁美洲(AZ))
437(LANG_GEORGIAN格鲁吉亚人)
43F(LANG_KAZAK哈萨克族)
440(LANG_KYRGYZ吉尔吉斯)
442(LANG_TURKMEN土库曼)
443(乌兹别克斯坦,拉丁语(UZ))
444(LANG_TATAR俄罗斯(RU))
82C(LANG_AZERI阿塞拜疆,西里尔(亚利桑那州)) 843(LANG_UZBEK乌兹别克)
10.获取主机相关的信息,如下所示:
获取的相关信息列表如下:
用户名
主机名
工作组
操作系统语言
操作系统键盘输入法
操作系统版本类型信息
CPU类型及型号信息
安全软件信息
磁盘类型及空间信息
遍历主机上的安全软件,收集安全软件相关信息,相应的安全软件信息,如下所示:
相应的安全软件列表信息,如下所示:
AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、
NortonAntiBot.exe、Mcshield.exe
avengine.exe、cmdagent.exe、smc.exe、
persfw.exe、pccpfw.exe、fsguiexe.exe
cfp.exe、msmpeng.exe
11.内存解密出相应的服务器地址列表,如下所示:
然后从中选择一个域名www.billerimpex.com,如下所示:
并从相应的URL路径列表中,随机选取一个路径名,如下所示:
随机的路径列表如下:
wp-content、static、content、includes、data、uploads、news
然后再选择一个单词添加后URL后面,如下所示:
相关的单词列表如下:
images、pictures、image、graphic、assets、pics、imgs、tmp
再从下面的文件名列表中随机选择几个组合成文件名,如下所示:
相应的文件名组合列表如下:
im、de、ka、ke、am、es、so、fu、se、da、he、ru、me、mo、th、zu
最后再把前面的URL与随机选择的扩展名连接起来,如下所示:

随机的扩展名列表如下:jpg、png、gif、bmp
与之前解密出来的域名地址进行拼接,如下所示:
使用POST的方式发送HTTP请求数据到之前拼接出来的网站,如下所示:
12.生成勒索信息相关字符串,如下所示:
生成加密文件的Key,并保存到注册表中,如下所示:

设置的相应注册表项,如下所示:

13.内存解密出需要加密相应文件后缀名的文件,如下所示:
要加密的文件后缀名列表如下所示:
rar zip cab arj lzh tar 7z gzip iso 7-zip lzma vmx vmdk vmem vdi  vbox 1st 602 doc xlm xlsx xlsm xltx xltm xlsb xla xlam xll xlw ppt pot pps pptx pptm potx potm ppam ppsx ppsm sldx sldm xps xls xlt doc dotm docx abw act adoc aim ans apkg apt asc asc ascii ase aty awp awt aww bad bbs bdp bdr bean bib bib bibtex bml bna boc brx btd bzabw cal ca charset chart chord cnm cod crwl cws cyi dca dfti dgs diz dne dot doc docm dotx docx doc xml docz dox dropbox dsc dvi dwd dx dxb dxp eio eit emf eml emlx emulecollection epp err etf etx euc fadeintemplate faq fbl fcf fdffdr fds fdt fdx fdxt fft fgs flr fodt fountain fpt frt fwd fwdn gmd gpd gpn gsd gthr gv hbk hht hs hwp hwp hz idx iil ipf ipspot jarvis jis jnp joe jp1 jrtf jtd kes klg knt kon kwd latex lbtlis lnt log lp2 lst lst ltr ltx lue luf lwp lxfml lyt lyx man mbox mcw md5 me mell mellel min mnt msg mw mwd mwp nbndoc nfo ngloss njx note notes now nwctxt nwm nwp ocr odif odm odo odt ofl opeico openbsd ort ott p7s pages pages-tef pdpcmd pfx pjt plain plantumlpmo prt prt psw pu pvj pvm pwd pwdp pwdpl pwi pwr qdl qpf rad readme rft ris rpt rst rtd rtf rtfd rtx run rvf rzk rzn saf safetext sam sam save scc scm scriv scrivx sct scw sdm sdoc sdw se session sgm sig skcard sla slagzsmf sms ssa story strings stw sty sublime-project sublime-workspace sxg sxw tab tab tdf tdf template text textclipping thp tlb tm tmd tmdx tmv tmvx tpc trelby tvj txt u3i unauth unx uof uot upd utf8 utxt vct vntvw wbk webdoc wn wp wp4 wp5 wp6 wp7 wpa wpd wpd wpd wpl wps wpswpt wpt wpw wri wsd wtt wtx xbdoc xbplate xdl xdl xwp xwp xwp xyxy3 xyp xyw zabw zrtf zw ani cab cpl cur diagcab diagpkg drv lock hlpldf icl icnsico ics lnk key idx mod mpa msc msp msstyles msu nomedia ocx prf rom rtp scr shs spl sys theme  
14.生成随机的加密后缀名,为五个随机字母的扩展名dvgmd,如下所示:
15.遍历网络共享目录文件夹下的文件,如下所示:
16.遍历磁盘文件的文件,如果为以下目录文件,则跳过,如下所示:
相应的目录列表如下所示:
\ProgramData\
\IEIldCache\
\Boot\
\Program Files\
\Tor Browser\
\All Users\
\Local Settings\
\Windows\
同时如果文件名为以下文件名,则不加密,如下所示:
相应的文件名列表如下:
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
KRAB-DECRYPT.html
KRAB-DECRYPT.txt
CRAB-DECRYPT.txt
ntldr
NTDETECT.COM
Bootfont.bin
加密相应后缀名的文件,如下所示:
加密之后的文件如下所示:
17.生成相应的勒索信息超文本文件或勒索信息文本文件,文件名为[文件加密后的随机扩展名]-DECRYPT.html/[文件加密后的随机扩展名]-DECRYPT.txt,如下所示:
18.相应的勒索信息HTML超文本文件DVGMD-DECRYPT.html,如下所示:

三、解决方案
1、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

2、如果业务上能不使用RDP的,则建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

3、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

4、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

5、普通用户,可下载如下工具,进行查杀。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

四、相关IOC
MD5
C007567A3885CBC552797A613ADA14E5
07FADB006486953439CE0092651FD7A6

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

新手778572 发表于 2024-6-12 17:32
  
对于最新变种的勒索病毒GandCrabV5.0的来袭,以下是一些建议的处理方式:

立即隔离受感染设备:发现受感染的设备后,立即隔离该设备,断开与网络的连接,以阻止病毒传播到其他设备。

停止网络连接:断开受感染设备与网络的连接,包括无线网络和以太网连接,以防止病毒通过网络传播。

通知相关人员:立即通知IT部门或网络安全团队,报告受到GandCrabV5.0勒索病毒攻击的情况,以便采取紧急措施。

不付赎金:尽管支付赎金可能会恢复数据,但通常不建议支付。这只会鼓励攻击者,并且不能保证数据会被恢复。

备份数据:确保备份数据是最新的,以便在必要时进行恢复。在清除病毒之前,不要对数据进行任何操作。

扫描和清除病毒:使用安全软件对受感染设备进行全面扫描,清除GandCrabV5.0勒索病毒并确保系统安全。

更新安全补丁:确保所有系统和软件都是最新版本,以防止利用漏洞进行攻击。

加强安全措施:加强网络安全措施,包括使用防病毒软件、防火墙和安全策略,以减少未来受到GandCrabV5.0勒索病毒攻击的风险。

学习经验教训:对事件进行彻底的调查和分析,了解是如何受到攻击的,以及如何改进安全措施以防止未来的攻击。

安全意识培训:提供安全意识培训,教育员工如何识别和避免GandCrabV5.0勒索病毒等网络威胁。
感谢回答,如果大家有紧急情况可以联.系:1.3.1.3.7.0.8.5.8.6.8 ,我们的工程师拥有多年数据恢复经验,提供专业的数据恢复服务。
厌児 发表于 2019-2-9 23:07
  
感谢楼主的分享,收藏了
新手018019 发表于 2019-2-9 21:17
  
大哥你好 我中了 GANDCRAB V5.0.4  跪求解密方法!
文文哒 发表于 2019-1-12 10:48
  
讨厌病毒~
yusho 发表于 2018-11-26 08:16
  
但愿别中招
sailyang 发表于 2018-11-1 10:44
  
学习了~谢谢
yusho 发表于 2018-11-1 08:40
  
出专杀工具了,厉害!先收藏,留着备用
TouTou 发表于 2018-10-30 12:11
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
青木莜莜 发表于 2018-10-29 22:08
  
厉害了
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人