緊急預警：GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

概述

騰訊安全御見威脅情報中心檢測到，不法分子正在使用GandCrab5.2勒索病毒對我國政府部分政府部門工作人員進行魚叉郵件攻擊。攻擊郵件主題為“你必須在3月11日下午3點向警察局報到！”包含“Min，Gap Ryong”及其他假冒的發件人約70餘個，郵件附件名為“03-11-19.rar”。

GandCrab勒索病毒是國內目前最活躍的勒索病毒之一，該病毒在過去一年時間經過5次大版本更新，騰訊威脅情報中心曾多次釋出預警，該病毒作者也一直和安全廠商、執法部門斗智鬥勇。該病毒在國內擅長使用弱口令爆破，掛馬，垃圾郵件傳播，該病毒由於使用了RSA+Salsa20的加密方式。無法拿到病毒作者手中私鑰常規情況下無法解密。

郵件內容

    GandCrab在國內近期投遞惡意郵件較多，主要有以下幾種形式

例如本次攻擊我國政府本門的附件內直接包含了exe檔案

附件內為韓語版本檔名，exe使用空格做偽裝的超長檔名

附件使用偽裝的pdf檔案

藉助doc宏文件執行DownLoader傳播

分析

附件中的EXE實際為外殼程式，透過在記憶體解密出真正的勒索程式載入payload

檢視Dump後模組入口為GandCrab標準花指令混淆，目的為干擾靜態分析

目前發現眾多GandCrab 5.2系列版本病毒會使用一個固定名為BitHuender的互斥量，Bitdefender曾多次聯合警方對GandCrab勒索病毒進行物理打擊，對過去多個歷史版本的病毒進行了解密，病毒作者互斥體起名與Bitdefender神似，猜測故意為之。

測試開啟該互斥體情況下，GandCrab 5.2病毒版本執行後會直接自刪除，從而跳過惡意加密行為，利用此方法可簡單有效避開部分病毒版本。

GandCrab 5.2版本執行後會首先結束大量檔案佔用類程式，防止加密過程中產生異常

並獲取當前作業系統語言做白名單過濾

419（俄羅斯）422(烏克蘭) 423(比利時) 428(塔吉克) 42c(亞塞拜然) 437(喬治亞) 43f(吉爾吉斯坦) 440(吉爾吉斯斯坦) 442(土庫曼) 443(烏茲別克) 444(韃靼斯坦) 818(未知) 819(未知) 82c(亞塞拜然) 843(烏茲別克)  45A  2801

GandCrab 5.2同樣會收集使用者機器資訊

在記憶體中解密出RSA公鑰

記憶體中解密出白檔案不加密擴充套件字尾

解密出大量加密擴充套件字尾

透過在記憶體中解密出白名單不加密目錄，主要有以下目錄

ProgramData

IETldCache

Boot

Tor Browser

All Users

Local Settings

Windows

最終使用salsa20加密原始檔案內容

檔案加密完成後新增隨機擴充套件字尾

IOCs

MD5:

fde0e8de7119080ec1705eba74037514

d5ad7b954eace2f26a37c5b9faaf0e53

安全建議

企業使用者：

1、儘量關閉不必要的埠，如：445、135，139等，對3389，5900等埠可進行白名單配置，只允許白名單內的IP連線登陸。

2、儘量關閉不必要的檔案共享，如有需要，請使用ACL和強密碼保護來限制訪問許可權，禁用對共享資料夾的匿名訪問。

3、採用高強度的密碼，避免使用弱口令密碼，並定期更換密碼。建議伺服器密碼使用高強度且無規律密碼，並且強制要求每個伺服器使用不同密碼管理。

4、對沒有互聯需求的伺服器/工作站內部訪問設定相應控制，避免可連外網伺服器被攻擊後作為跳板進一步攻擊其他伺服器。

5、對重要檔案和資料（資料庫等資料）進行定期非本地備份。

6、教育終端使用者謹慎下載陌生郵件附件，若非必要，應禁止啟用Office宏程式碼。

7、在終端/伺服器部署專業安全防護軟體，Web伺服器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務。

8、建議全網安裝御點終端安全管理系統（https://s.tencent.com/product/yd/index.html）。御點終端安全管理系統具備終端防毒統一管控、修復漏洞統一管控，以及策略管控等全方位的安全管理功能，可幫助企業管理者全面瞭解、管理企業內網安全狀況、保護企業安全。

個人使用者：

1、啟用騰訊電腦管家，勿隨意開啟陌生郵件，關閉Office執行宏程式碼

2、開啟電腦管家的文件守護者功能，利用磁碟冗餘空間自動備份資料文件，即使發生意外，資料也可有備無患。