一、概要
GandCrab勒索病毒于2018年1月面世以来,短短一年内历经多次版本更新,目前最新的版本为V5。该病毒利用多种方式对企业网络进行攻击传播,受感染主机上的数据库、文档、图片、压缩包等文件将被加密,若没有相应数据或文件的备份,将会影响业务的正常运行。从今年9月份V5版本面世以来,GandCrab出现了包括了5.0、5.0.2、5.0.3、5.0.4以及最新的5.0.5多个版本的变种。病毒采用Salsa20和RSA-2048算法对文件进行加密,并修改文件后缀为.GDCB、.GRAB、.KRAB或5-10位随机字母,勒索信息文件为GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、[5-10随机字母]-DECRYPT.html\txt,并将感染主机桌面背景替换为勒索信息图片。
二、病毒分析
1、传播方式
GandCrab病毒家族主要通过RDP暴力破解、钓鱼邮件、捆绑恶意软件、僵尸网络以及漏洞利用传播。病毒本身不具有蠕虫传播能力,但会通过枚举方式对网络共享资源进行加密,同时攻击者往往还会通过内网人工渗透方式,利用口令提取、端口扫描、口令爆破等手段对其他主机进行攻击并植入该病毒。
2、影响范围
Windows系统
3、近期版本变更
5.0:
第一个版本中,需要调用xpsprint.dll,但该文件在Windows Vista和XP中不存在,因此无法在上述系统中运行。
第二个版本不再使用固定的.CRAB或.KRAB加密后缀名,而是5个字母的随机后缀名。
5.0.1:
此版本修复了一些程序内部错误,但没有进行其他重大更改。
5.0.2:
此版本将随机扩展名长度从5个字符更改为10个字符,并修复了一些内部错误。
5.0.3:
此版本会通过释放名为wermgr.exe的恶意程序来执行加密操作。
5.0.4:
修复了不能在Windows Vista和XP系统中运行的错误,硬编码了一张人像图片,并在病毒运行时释放到磁盘中。
5.0.5:
更换了加密密钥,以对抗Bitdefender等厂商提供的解密工具。混合加密,除非拿到黑客掌握的私钥,否则解密的可能性微乎其微。因此,应对勒索病毒攻击,做好网络安全防范措施最为关键。
三、样本分析
病毒行为:
1、结束以下进程,其中包括数据库、office套件、游戏客户端等:
mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe
2、检测键盘布局,对指定语言区域主机不进行加密,如俄罗斯,但不包含中国。
3、遍历本地磁盘及网络共享资源,加密除白名单以外的所有文件,并生成勒索信息文件,其中白名单包括文件扩展名、系统目录及系统文件(加密白名单详见附录)。
获取网络磁盘:
目录遍历:
加密白名单:
文件加密:
4、调用系统命令(WMIC.exeshadowcopy delete),从磁盘删除用于备份的卷影副本。
5、修改当前用户桌面背景为勒索信息图片,其中还包括病毒版本信息。
6、修改桌面背景后,开始访问指定域名的80及443端口(完整域名列表见附录)。
7、整个加密过程完成后,执行自删除操作。
四、排查与处置方法
(1)排查方法:
1. 检查系统是否安装了最近系统漏洞补丁包;
2. 检查系统是否开启了3389端口的RDP网络共享协议,查看日志是否有暴力破解日志;
3. 检查系统是否开启了445端口的SMB网络共享协议或者不必要的系统服务端口;
4. 检查系统是否存在随即后缀名加密文件;
5. 检查桌面是否存在来历不明的图片。
(2)处置方案:
1. 检测方法
网络层:通过出口防火墙或其他类似安全设备,对以下域名/IP的请求进行检测,以发现其他感染主机。
主机层:
检查桌面背景是否被更改为勒索信息图片;
查看是否存在相关加密文件,如:5-10随机字母后缀文件;
查看磁盘根目录是否存在勒索信息文件,如:[5-10随机字母]-DECRYPT.txt。
(3)清理方案:
GandCrab在执行完文件加密后会进行自删除,不会驻留系统,也不会添加自启动相关注册表项目。
如文件加密过程还未完成,病毒进程将不会退出,可使用进程管理工具(如Process Explorer)查看是否有可疑进程,并及时结束,以终止文件加密,减少损失。
五、安全建议
1、避免使用或禁用administrator、admin、root、test、guest等常见用户名。
2、避免使用通用或规律密码,设置8位及以上长度,大小写字母、数字、特殊符号等组成的混合密码。配置账户锁定策略,对短时间内连续登陆失败的账户进行锁定。
3、及时更新操作系统和应用程序补丁,修复漏洞。
4、安装终端防护或杀毒软件,及时更新病毒库,定期进行病毒查杀,不从不明网站下载软件,不点击来源不明的链接、图片、视频、邮件和附件。
5、关闭不必要的端口和服务(如139、445、3389等)。
6、制定应急预案,做好系统和数据的异地备份。
附录A
病毒样本信息
附录B
加密白名单
后缀名白名单:
.ani .cab .cpl.cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key.idx .mod .mpa .msc .msp .msstyles .msu.nomedia .ocx .prf .rom.rtp .scr .shs .spl .sys .theme.themepack .exe.bat .cmd .gandcrab .KRAB .CRAB
系统目录白名单:
\ProgramData\
\IETldCache\
\Boot\
\Program Files\
\Tor Browser\
\All Users\
\Local Settings\
\Windows\
系统文件白名单:
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
thumbs.db
来源:新疆互联网应急中心微信公众号
领取专属 10元无门槛券
私享最新 技术干货