GandCrab勒索病毒於2018年1月面世以來,短短一年內歷經多次版本更新,目前最新的版本為V5。該病毒利用多種方式對企業網絡進行攻擊傳播,受感染主機上的資料庫、文檔、圖片、壓縮包等文件將被加密,若沒有相應數據或文件的備份,將會影響業務的正常運行。從今年9月份V5版本面世以來,GandCrab出現了包括了5.0、5.0.2、5.0.3、5.0.4以及最新的5.0.5多個版本的變種。病毒採用Salsa20和RSA-2048算法對文件進行加密,並修改文件後綴為.GDCB、.GRAB、.KRAB或5-10位隨機字母,勒索信息文件為GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、[5-10隨機字母]-DECRYPT.html\txt,並將感染主機桌面背景替換為勒索信息圖片。
二、病毒分析
1、傳播方式
GandCrab病毒家族主要通過RDP暴力破解、釣魚郵件、捆綁惡意軟體、殭屍網絡以及漏洞利用傳播。病毒本身不具有蠕蟲傳播能力,但會通過枚舉方式對網絡共享資源進行加密,同時攻擊者往往還會通過內網人工滲透方式,利用口令提取、埠掃描、口令爆破等手段對其他主機進行攻擊並植入該病毒。
2、影響範圍
Windows系統
3、近期版本變更
5.0:
第一個版本中,需要調用xpsprint.dll,但該文件在Windows Vista和XP中不存在,因此無法在上述系統中運行。
第二個版本不再使用固定的.CRAB或.KRAB加密後綴名,而是5個字母的隨機後綴名。
5.0.1:
此版本修復了一些程序內部錯誤,但沒有進行其他重大更改。
5.0.2:
此版本將隨機擴展名長度從5個字符更改為10個字符,並修復了一些內部錯誤。
5.0.3:
此版本會通過釋放名為wermgr.exe的惡意程序來執行加密操作。
5.0.4:
修復了不能在Windows Vista和XP系統中運行的錯誤,硬編碼了一張人像圖片,並在病毒運行時釋放到磁碟中。
5.0.5:
更換了加密密鑰,以對抗Bitdefender等廠商提供的解密工具。混合加密,除非拿到黑客掌握的私鑰,否則解密的可能性微乎其微。因此,應對勒索病毒攻擊,做好網絡安全防範措施最為關鍵。
三、樣本分析
病毒行為:
1、結束以下進程,其中包括資料庫、office套件、遊戲客戶端等:
mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe
2、檢測鍵盤布局,對指定語言區域主機不進行加密,如俄羅斯,但不包含中國。
3、遍曆本地磁碟及網絡共享資源,加密除白名單以外的所有文件,並生成勒索信息文件,其中白名單包括文件擴展名、系統目錄及系統文件(加密白名單詳見附錄)。
獲取網絡磁碟:
目錄遍歷:
加密白名單:
文件加密:
4、調用系統命令(WMIC.exeshadowcopy delete),從磁碟刪除用於備份的卷影副本。
5、修改當前用戶桌面背景為勒索信息圖片,其中還包括病毒版本信息。
6、修改桌面背景後,開始訪問指定域名的80及443埠(完整域名列表見附錄)。
7、整個加密過程完成後,執行自刪除操作。
四、排查與處置方法
(1)排查方法:
1. 檢查系統是否安裝了最近系統漏洞補丁包;
2. 檢查系統是否開啟了3389埠的RDP網絡共享協議,查看日誌是否有暴力破解日誌;
3. 檢查系統是否開啟了445埠的SMB網絡共享協議或者不必要的系統服務埠;
4. 檢查系統是否存在隨即後綴名加密文件;
5. 檢查桌面是否存在來歷不明的圖片。
(2)處置方案:
1. 檢測方法
網絡層:通過出口防火牆或其他類似安全設備,對以下域名/IP的請求進行檢測,以發現其他感染主機。
主機層:
檢查桌面背景是否被更改為勒索信息圖片;
查看是否存在相關加密文件,如:5-10隨機字母後綴文件;
查看磁碟根目錄是否存在勒索信息文件,如:[5-10隨機字母]-DECRYPT.txt。
(3)清理方案:
GandCrab在執行完文件加密後會進行自刪除,不會駐留系統,也不會添加自啟動相關註冊表項目。
如文件加密過程還未完成,病毒進程將不會退出,可使用進程管理工具(如Process Explorer)查看是否有可疑進程,並及時結束,以終止文件加密,減少損失。
五、安全建議
1、避免使用或禁用administrator、admin、root、test、guest等常見用戶名。
2、避免使用通用或規律密碼,設置8位及以上長度,大小寫字母、數字、特殊符號等組成的混合密碼。配置帳戶鎖定策略,對短時間內連續登陸失敗的帳戶進行鎖定。
3、及時更新作業系統和應用程式補丁,修復漏洞。
4、安裝終端防護或殺毒軟體,及時更新病毒庫,定期進行病毒查殺,不從不明網站下載軟體,不點擊來源不明的連結、圖片、視頻、郵件和附件。
5、關閉不必要的埠和服務(如139、445、3389等)。
6、制定應急預案,做好系統和數據的異地備份。
5.0
md5
07fadb006486953439ce0092651fd7a6
sha1
e42431d37561cc695de03b85e8e99c9e31321742
sha2
d77378dcc42b912e514d3bd4466cdda050dda9b57799a6c97f70e8489dd8c
5.0.3
md5
95557a29de4b70a25ce62a03472be684
sha1
5baabf2869278e60d4c4f236b832bffddd6cf969
sha2
49b769536224f160b6087dc866edf6445531c6136ab76b9d5079ce622b043200
5.0.4
md5
335859768d9a489eab3e3cbd157fb98f
sha1
18c379b521788fc610623129ec3960de0f15f19d
sha2
9b5b364a32c759ada38bdc4cbfaad3ed8dc333f87796e27eef52a96d43c821a2
5.0.5
md5
c805528f6844d7caf5793c025b56f67d
sha1
39efa47a0257ff3f6239838529e1cab84f7864c6
sha2
a81d350afaf97cc038b3f20b46d4757150d7854df5e56780326f91bc7d4fd215
後綴名白名單:
.ani .cab .cpl.cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key.idx .mod .mpa .msc .msp .msstyles .msu.nomedia .ocx .prf .rom.rtp .scr .shs .spl .sys .theme.themepack .exe.bat .cmd .gandcrab .KRAB .CRAB
系統目錄白名單:
\ProgramData\
\IETldCache\
\Boot\
\Program Files\
\Tor Browser\
\All Users\
\Local Settings\
\Windows\
系統文件白名單:
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
來源:新疆網際網路應急中心