一、样本简介
GandCrab勒索病毒于2018年1月首次出现,在半年的时候之内,迅速发展,短短几个月时间里就出现了V1.0,V2.0,V3.0,V4.0等几个大的版本的更新,V4.0之后又出现了V4.1,V4.2,V4.3,V4.4等几个小版本的变种样本,最近又发现了它的最新变种GandCrabV5.0版本变种样本。
GandCrab的感染方式主要是通过以下几种方式:
(1) RDP爆破
(2) 垃圾邮件,带有恶意链接或附件
(3) 下载捆绑有恶意程序的正常软件
(4) 利用Exploit Kit等漏洞利用工具包
此次发现的GandCrabV5.0的变种样本,通过恶意广告进行分发,利用Fallout Exploit Kit漏洞利用工具包网站传播安装GandCrabV5.0勒索病毒样本。
GandCrabV5.0版本的勒索信息超文本文件相应的内容如下所示:
相应的TOR勒索信息网址,如下所示:
二、样本分析
1.通过Fallout Exploit Kit漏洞利用工具包下载安装GandCrabV5.0勒索病毒的Payload,分析相应的Payload,解密出里面的ShellCode代码,如下所示:
2.执行ShellCode代码,在内存中解密出GandCrabV5.0勒索病毒核心加密模块,然后在内存中加载执行加密体,如下所示:
3.Dump出勒索病毒的核心模块,与之前的4.X变种样本一样,V5.0版的样本同样使用了静态对抗反汇编的方法,如下所示:
去混淆之后,如下所示:
4.样本的勒索信息,版本号变为了V5.0,如下所示:
5.遍历进程,结束相关进程,如下所示:
相关的进程列表如下所示:
msftesql.exe、sqlagent.exe、
sqlbrowser.exe、sqlwriter.exe、
oracle.exe、ocssd.exe
dbsnmp.exe、synctime.exe、
agntsvc.exeisqlplussvc.exe、
xfssvccon.exe
sqlservr.exe、mydesktopservice.exe、
ocautoupds.exe、agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe、firefoxconfig.exe、
tbirdconfig.exe、mydesktopqos.exe
ocomm.exe、mysqld.exe、mysqld-nt.exe、
mysqld-opt.exe、dbeng50.exe
sqbcoreservice.exe、excel.exe、
infopath.exe、msaccess.exe、mspub.exe
onenote.exe、outlook.exe、powerpnt.exe、
steam.exe、sqlservr.exe、thebat.exe
thebat64.exe、thunderbird.exe、visio.exe、
winword.exe、wordpad.exe
6.创建互斥变量体Global\
XlAKFoxSKGOfSGOoSFOOFNOLPE,防止勒索病毒样本重复加密,如下所示:
7.获取Windows操作系统版本,如下所示:
8.获取当前运行进程权限,如下所示:
9.查询操作系统安装的输入法,如下所示:
如果操作系统为输入法为Russian,则不进行加密操作,执行后面的自删除操作,如下所示:
获取操作系统的语言版本,如下所示:
当操作系统语言为如下国家时,则不进行加密,执行自删除操作,相应的国家列表如下:
419(LANG_RUSSIAN俄语)
422(LANG_UKRAINIAN乌克兰)
423(LANG_BELARUSIAN白俄罗斯)
428(LANG_TAJIK塔吉克)
42B(LANG_ARMENIAN亚美尼亚)
42C(阿塞拜疆,拉丁美洲(AZ))
437(LANG_GEORGIAN格鲁吉亚人)
43F(LANG_KAZAK哈萨克族)
440(LANG_KYRGYZ吉尔吉斯)
442(LANG_TURKMEN土库曼)
443(乌兹别克斯坦,拉丁语(UZ))
444(LANG_TATAR俄罗斯(RU))
82C(LANG_AZERI阿塞拜疆,西里尔(亚利桑那州)) 843(LANG_UZBEK乌兹别克)
10.获取主机相关的信息,如下所示:
获取的相关信息列表如下:
用户名
主机名
工作组
操作系统语言
操作系统键盘输入法
操作系统版本类型信息
CPU类型及型号信息
安全软件信息
磁盘类型及空间信息
遍历主机上的安全软件,收集安全软件相关信息,相应的安全软件信息,如下所示:
相应的安全软件列表信息,如下所示:
AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、
NortonAntiBot.exe、Mcshield.exe
avengine.exe、cmdagent.exe、smc.exe、
persfw.exe、pccpfw.exe、fsguiexe.exe
cfp.exe、msmpeng.exe
11.内存解密出相应的服务器地址列表,如下所示:
并从相应的URL路径列表中,随机选取一个路径名,如下所示:
随机的路径列表如下:
wp-content、static、content、includes、data、uploads、news
然后再选择一个单词添加后URL后面,如下所示:
相关的单词列表如下:
images、pictures、image、graphic、assets、pics、imgs、tmp
再从下面的文件名列表中随机选择几个组合成文件名,如下所示:
相应的文件名组合列表如下:
im、de、ka、ke、am、es、so、fu、se、da、he、ru、me、mo、th、zu
最后再把前面的URL与随机选择的扩展名连接起来,如下所示:
随机的扩展名列表如下:jpg、png、gif、bmp
与之前解密出来的域名地址进行拼接,如下所示:
使用POST的方式发送HTTP请求数据到之前拼接出来的网站,如下所示:
12.生成勒索信息相关字符串,如下所示:
生成加密文件的Key,并保存到注册表中,如下所示:
设置的相应注册表项,如下所示:
13.内存解密出需要加密相应文件后缀名的文件,如下所示:
要加密的文件后缀名列表如下所示:
rar zip cab arj lzh tar 7z gzip iso 7-zip lzma vmx vmdk vmem vdi vbox 1st 602 doc xlm xlsx xlsm xltx xltm xlsb xla xlam xll xlw ppt pot pps pptx pptm potx potm ppam ppsx ppsm sldx sldm xps xls xlt doc dotm docx abw act adoc aim ans apkg apt asc asc ascii ase aty awp awt aww bad bbs bdp bdr bean bib bib bibtex bml bna boc brx btd bzabw cal ca charset chart chord cnm cod crwl cws cyi dca dfti dgs diz dne dot doc docm dotx docx doc xml docz dox dropbox dsc dvi dwd dx dxb dxp eio eit emf eml emlx emulecollection epp err etf etx euc fadeintemplate faq fbl fcf fdffdr fds fdt fdx fdxt fft fgs flr fodt fountain fpt frt fwd fwdn gmd gpd gpn gsd gthr gv hbk hht hs hwp hwp hz idx iil ipf ipspot jarvis jis jnp joe jp1 jrtf jtd kes klg knt kon kwd latex lbtlis lnt log lp2 lst lst ltr ltx lue luf lwp lxfml lyt lyx man mbox mcw md5 me mell mellel min mnt msg mw mwd mwp nbndoc nfo ngloss njx note notes now nwctxt nwm nwp ocr odif odm odo odt ofl opeico openbsd ort ott p7s pages pages-tef pdpcmd pfx pjt plain plantumlpmo prt prt psw pu pvj pvm pwd pwdp pwdpl pwi pwr qdl qpf rad readme rft ris rpt rst rtd rtf rtfd rtx run rvf rzk rzn saf safetext sam sam save scc scm scriv scrivx sct scw sdm sdoc sdw se session sgm sig skcard sla slagzsmf sms ssa story strings stw sty sublime-project sublime-workspace sxg sxw tab tab tdf tdf template text textclipping thp tlb tm tmd tmdx tmv tmvx tpc trelby tvj txt u3i unauth unx uof uot upd utf8 utxt vct vntvw wbk webdoc wn wp wp4 wp5 wp6 wp7 wpa wpd wpd wpd wpl wps wpswpt wpt wpw wri wsd wtt wtx xbdoc xbplate xdl xdl xwp xwp xwp xyxy3 xyp xyw zabw zrtf zw ani cab cpl cur diagcab diagpkg drv lock hlpldf icl icnsico ics lnk key idx mod mpa msc msp msstyles msu nomedia ocx prf rom rtp scr shs spl sys theme
14.生成随机的加密后缀名,为五个随机字母的扩展名dvgmd,如下所示:
15.遍历网络共享目录文件夹下的文件,如下所示:
16.遍历磁盘文件的文件,如果为以下目录文件,则跳过,如下所示:
相应的目录列表如下所示:
\ProgramData\
\IEIldCache\
\Boot\
\Program Files\
\Tor Browser\
\All Users\
\Local Settings\
\Windows\
同时如果文件名为以下文件名,则不加密,如下所示:
相应的文件名列表如下:
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
KRAB-DECRYPT.html
KRAB-DECRYPT.txt
CRAB-DECRYPT.txt
ntldr
NTDETECT.COM
Bootfont.bin
加密相应后缀名的文件,如下所示:
加密之后的文件如下所示:
17.生成相应的勒索信息超文本文件或勒索信息文本文件,文件名为[文件加密后的随机扩展名]-DECRYPT.html/[文件加密后的随机扩展名]-DECRYPT.txt,如下所示:
18.相应的勒索信息HTML超文本文件DVGMD-DECRYPT.html,如下所示:
三、解决方案
1、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
2、如果业务上能不使用RDP的,则建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
3、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
4、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
5、普通用户,可下载如下工具,进行查杀。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
四、相关IOC
MD5
C007567A3885CBC552797A613ADA14E5
07FADB006486953439CE0092651FD7A6