×

勒索病毒GandCrabV5.0最新变种来袭
  

SANGFOR_智安全 13338

{{ttag.title}}
本帖最后由 某公司_智安全 于 2018-10-17 18:42 编辑

一、样本简介
GandCrab勒索病毒于2018年1月首次出现,在半年的时候之内,迅速发展,短短几个月时间里就出现了V1.0,V2.0,V3.0,V4.0等几个大的版本的更新,V4.0之后又出现了V4.1,V4.2,V4.3,V4.4等几个小版本的变种样本,最近又发现了它的最新变种GandCrabV5.0版本变种样本。

GandCrab的感染方式主要是通过以下几种方式:
(1) RDP爆破
(2) 垃圾邮件,带有恶意链接或附件
(3) 下载捆绑有恶意程序的正常软件
(4) 利用Exploit Kit等漏洞利用工具包

此次发现的GandCrabV5.0的变种样本,通过恶意广告进行分发,利用Fallout Exploit Kit漏洞利用工具包网站传播安装GandCrabV5.0勒索病毒样本。

GandCrabV5.0版本的勒索信息超文本文件相应的内容如下所示:

相应的TOR勒索信息网址,如下所示:



二、样本分析
1.通过Fallout Exploit Kit漏洞利用工具包下载安装GandCrabV5.0勒索病毒的Payload,分析相应的Payload,解密出里面的ShellCode代码,如下所示:

2.执行ShellCode代码,在内存中解密出GandCrabV5.0勒索病毒核心加密模块,然后在内存中加载执行加密体,如下所示:

3.Dump出勒索病毒的核心模块,与之前的4.X变种样本一样,V5.0版的样本同样使用了静态对抗反汇编的方法,如下所示:
去混淆之后,如下所示:
4.样本的勒索信息,版本号变为了V5.0,如下所示:
5.遍历进程,结束相关进程,如下所示:
相关的进程列表如下所示:
msftesql.exe、sqlagent.exe、
sqlbrowser.exe、sqlwriter.exe、
oracle.exe、ocssd.exe
dbsnmp.exe、synctime.exe、
agntsvc.exeisqlplussvc.exe、
xfssvccon.exe
sqlservr.exe、mydesktopservice.exe、
ocautoupds.exe、agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe、firefoxconfig.exe、
tbirdconfig.exe、mydesktopqos.exe
ocomm.exe、mysqld.exe、mysqld-nt.exe、
mysqld-opt.exe、dbeng50.exe
sqbcoreservice.exe、excel.exe、
infopath.exe、msaccess.exe、mspub.exe
onenote.exe、outlook.exe、powerpnt.exe、
steam.exe、sqlservr.exe、thebat.exe
thebat64.exe、thunderbird.exe、visio.exe、
winword.exe、wordpad.exe
6.创建互斥变量体Global\
XlAKFoxSKGOfSGOoSFOOFNOLPE,防止勒索病毒样本重复加密,如下所示:
7.获取Windows操作系统版本,如下所示:
8.获取当前运行进程权限,如下所示:

9.查询操作系统安装的输入法,如下所示:

如果操作系统为输入法为Russian,则不进行加密操作,执行后面的自删除操作,如下所示:
获取操作系统的语言版本,如下所示:
当操作系统语言为如下国家时,则不进行加密,执行自删除操作,相应的国家列表如下:
419(LANG_RUSSIAN俄语)
422(LANG_UKRAINIAN乌克兰)
423(LANG_BELARUSIAN白俄罗斯)
428(LANG_TAJIK塔吉克)
42B(LANG_ARMENIAN亚美尼亚)
42C(阿塞拜疆,拉丁美洲(AZ))
437(LANG_GEORGIAN格鲁吉亚人)
43F(LANG_KAZAK哈萨克族)
440(LANG_KYRGYZ吉尔吉斯)
442(LANG_TURKMEN土库曼)
443(乌兹别克斯坦,拉丁语(UZ))
444(LANG_TATAR俄罗斯(RU))
82C(LANG_AZERI阿塞拜疆,西里尔(亚利桑那州)) 843(LANG_UZBEK乌兹别克)
10.获取主机相关的信息,如下所示:
获取的相关信息列表如下:
用户名
主机名
工作组
操作系统语言
操作系统键盘输入法
操作系统版本类型信息
CPU类型及型号信息
安全软件信息
磁盘类型及空间信息
遍历主机上的安全软件,收集安全软件相关信息,相应的安全软件信息,如下所示:
相应的安全软件列表信息,如下所示:
AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、
NortonAntiBot.exe、Mcshield.exe
avengine.exe、cmdagent.exe、smc.exe、
persfw.exe、pccpfw.exe、fsguiexe.exe
cfp.exe、msmpeng.exe
11.内存解密出相应的服务器地址列表,如下所示:
然后从中选择一个域名www.billerimpex.com,如下所示:
并从相应的URL路径列表中,随机选取一个路径名,如下所示:
随机的路径列表如下:
wp-content、static、content、includes、data、uploads、news
然后再选择一个单词添加后URL后面,如下所示:
相关的单词列表如下:
images、pictures、image、graphic、assets、pics、imgs、tmp
再从下面的文件名列表中随机选择几个组合成文件名,如下所示:
相应的文件名组合列表如下:
im、de、ka、ke、am、es、so、fu、se、da、he、ru、me、mo、th、zu
最后再把前面的URL与随机选择的扩展名连接起来,如下所示:

随机的扩展名列表如下:jpg、png、gif、bmp
与之前解密出来的域名地址进行拼接,如下所示:
使用POST的方式发送HTTP请求数据到之前拼接出来的网站,如下所示:
12.生成勒索信息相关字符串,如下所示:
生成加密文件的Key,并保存到注册表中,如下所示:

设置的相应注册表项,如下所示:

13.内存解密出需要加密相应文件后缀名的文件,如下所示:
要加密的文件后缀名列表如下所示:
rar zip cab arj lzh tar 7z gzip iso 7-zip lzma vmx vmdk vmem vdi  vbox 1st 602 doc xlm xlsx xlsm xltx xltm xlsb xla xlam xll xlw ppt pot pps pptx pptm potx potm ppam ppsx ppsm sldx sldm xps xls xlt doc dotm docx abw act adoc aim ans apkg apt asc asc ascii ase aty awp awt aww bad bbs bdp bdr bean bib bib bibtex bml bna boc brx btd bzabw cal ca charset chart chord cnm cod crwl cws cyi dca dfti dgs diz dne dot doc docm dotx docx doc xml docz dox dropbox dsc dvi dwd dx dxb dxp eio eit emf eml emlx emulecollection epp err etf etx euc fadeintemplate faq fbl fcf fdffdr fds fdt fdx fdxt fft fgs flr fodt fountain fpt frt fwd fwdn gmd gpd gpn gsd gthr gv hbk hht hs hwp hwp hz idx iil ipf ipspot jarvis jis jnp joe jp1 jrtf jtd kes klg knt kon kwd latex lbtlis lnt log lp2 lst lst ltr ltx lue luf lwp lxfml lyt lyx man mbox mcw md5 me mell mellel min mnt msg mw mwd mwp nbndoc nfo ngloss njx note notes now nwctxt nwm nwp ocr odif odm odo odt ofl opeico openbsd ort ott p7s pages pages-tef pdpcmd pfx pjt plain plantumlpmo prt prt psw pu pvj pvm pwd pwdp pwdpl pwi pwr qdl qpf rad readme rft ris rpt rst rtd rtf rtfd rtx run rvf rzk rzn saf safetext sam sam save scc scm scriv scrivx sct scw sdm sdoc sdw se session sgm sig skcard sla slagzsmf sms ssa story strings stw sty sublime-project sublime-workspace sxg sxw tab tab tdf tdf template text textclipping thp tlb tm tmd tmdx tmv tmvx tpc trelby tvj txt u3i unauth unx uof uot upd utf8 utxt vct vntvw wbk webdoc wn wp wp4 wp5 wp6 wp7 wpa wpd wpd wpd wpl wps wpswpt wpt wpw wri wsd wtt wtx xbdoc xbplate xdl xdl xwp xwp xwp xyxy3 xyp xyw zabw zrtf zw ani cab cpl cur diagcab diagpkg drv lock hlpldf icl icnsico ics lnk key idx mod mpa msc msp msstyles msu nomedia ocx prf rom rtp scr shs spl sys theme  
14.生成随机的加密后缀名,为五个随机字母的扩展名dvgmd,如下所示:
15.遍历网络共享目录文件夹下的文件,如下所示:
16.遍历磁盘文件的文件,如果为以下目录文件,则跳过,如下所示:
相应的目录列表如下所示:
\ProgramData\
\IEIldCache\
\Boot\
\Program Files\
\Tor Browser\
\All Users\
\Local Settings\
\Windows\
同时如果文件名为以下文件名,则不加密,如下所示:
相应的文件名列表如下:
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
KRAB-DECRYPT.html
KRAB-DECRYPT.txt
CRAB-DECRYPT.txt
ntldr
NTDETECT.COM
Bootfont.bin
加密相应后缀名的文件,如下所示:
加密之后的文件如下所示:
17.生成相应的勒索信息超文本文件或勒索信息文本文件,文件名为[文件加密后的随机扩展名]-DECRYPT.html/[文件加密后的随机扩展名]-DECRYPT.txt,如下所示:
18.相应的勒索信息HTML超文本文件DVGMD-DECRYPT.html,如下所示:

三、解决方案
1、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

2、如果业务上能不使用RDP的,则建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

3、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

4、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

5、普通用户,可下载如下工具,进行查杀。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

四、相关IOC
MD5
C007567A3885CBC552797A613ADA14E5
07FADB006486953439CE0092651FD7A6

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

新手650001 发表于 2018-10-18 14:42
  
出专杀了,不错
13638095227 发表于 2018-10-18 14:56
  
亲历现场,一片哀嚎。
tj_zero 发表于 2018-10-18 15:13
  
又是一款利器
全村骄傲 发表于 2018-10-18 16:22
  
通读一遍,恩 没看懂
feeling 发表于 2018-10-18 17:20
  
太可怕了
zoou 发表于 2018-10-19 21:44
  
分析的太详细了。厉害。安服能力真强
念友真爱 发表于 2018-10-22 01:48
  
好专业啊,我下载了查杀工具了,先查杀一下。
技术小白 发表于 2018-10-26 10:15
  
前几天听到有人说公司中勒索病毒了,正在找解决方案呢
菜鸟李 发表于 2018-10-29 10:45
  
下载了,收藏。扔服务器上备用。
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人