緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

騰訊電腦管家發表於2019-03-13

概述

騰訊安全御見威脅情報中心檢測到,不法分子正在使用GandCrab5.2勒索病毒對我國政府部分政府部門工作人員進行魚叉郵件攻擊。攻擊郵件主題為“你必須在3月11日下午3點向警察局報到!”包含“Min,Gap Ryong”及其他假冒的發件人約70餘個,郵件附件名為“03-11-19.rar”。

GandCrab勒索病毒是國內目前最活躍的勒索病毒之一,該病毒在過去一年時間經過5次大版本更新,騰訊威脅情報中心曾多次釋出預警,該病毒作者也一直和安全廠商、執法部門斗智鬥勇。該病毒在國內擅長使用弱口令爆破,掛馬,垃圾郵件傳播,該病毒由於使用了RSA+Salsa20的加密方式。無法拿到病毒作者手中私鑰常規情況下無法解密。

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

郵件內容

    GandCrab在國內近期投遞惡意郵件較多,主要有以下幾種形式

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

例如本次攻擊我國政府本門的附件內直接包含了exe檔案

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

附件內為韓語版本檔名,exe使用空格做偽裝的超長檔名

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

附件使用偽裝的pdf檔案

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

藉助doc巨集文件執行DownLoader傳播




分析

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

附件中的EXE實際為外殼程式,通過在記憶體解密出真正的勒索程式載入payload

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

檢視Dump後模組入口為GandCrab標準花指令混淆,目的為干擾靜態分析

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

目前發現眾多GandCrab 5.2系列版本病毒會使用一個固定名為BitHuender的互斥量,Bitdefender曾多次聯合警方對GandCrab勒索病毒進行物理打擊,對過去多個歷史版本的病毒進行了解密,病毒作者互斥體起名與Bitdefender神似,猜測故意為之。

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

測試開啟該互斥體情況下,GandCrab 5.2病毒版本執行後會直接自刪除,從而跳過惡意加密行為,利用此方法可簡單有效避開部分病毒版本。

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

GandCrab 5.2版本執行後會首先結束大量檔案佔用類程式,防止加密過程中產生異常

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

並獲取當前作業系統語言做白名單過濾

419(俄羅斯)422(烏克蘭) 423(比利時) 428(塔吉克) 42c(亞塞拜然) 437(喬治亞) 43f(吉爾吉斯坦) 440(吉爾吉斯斯坦) 442(土庫曼) 443(烏茲別克) 444(韃靼斯坦) 818(未知) 819(未知) 82c(亞塞拜然) 843(烏茲別克)  45A  2801

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

GandCrab 5.2同樣會收集使用者機器資訊

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

在記憶體中解密出RSA公鑰

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

記憶體中解密出白檔案不加密擴充套件字尾

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

解密出大量加密擴充套件字尾

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

通過在記憶體中解密出白名單不加密目錄,主要有以下目錄

ProgramData

IETldCache

Boot

Tor Browser

All Users

Local Settings

Windows

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

最終使用salsa20加密原始檔案內容

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

檔案加密完成後新增隨機擴充套件字尾

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊






IOCs

MD5:

fde0e8de7119080ec1705eba74037514

d5ad7b954eace2f26a37c5b9faaf0e53



安全建議

企業使用者:

1、儘量關閉不必要的埠,如:445、135,139等,對3389,5900等埠可進行白名單配置,只允許白名單內的IP連線登陸。

2、儘量關閉不必要的檔案共享,如有需要,請使用ACL和強密碼保護來限制訪問許可權,禁用對共享資料夾的匿名訪問。

3、採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼。建議伺服器密碼使用高強度且無規律密碼,並且強制要求每個伺服器使用不同密碼管理。

4、對沒有互聯需求的伺服器/工作站內部訪問設定相應控制,避免可連外網伺服器被攻擊後作為跳板進一步攻擊其他伺服器。

5、對重要檔案和資料(資料庫等資料)進行定期非本地備份。

6、教育終端使用者謹慎下載陌生郵件附件,若非必要,應禁止啟用Office巨集程式碼。

7、在終端/伺服器部署專業安全防護軟體,Web伺服器可考慮部署在騰訊雲等具備專業安全防護能力的雲服務。

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

8、建議全網安裝御點終端安全管理系統(https://s.tencent.com/product/yd/index.html)。御點終端安全管理系統具備終端防毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面瞭解、管理企業內網安全狀況、保護企業安全。

個人使用者:

1、啟用騰訊電腦管家,勿隨意開啟陌生郵件,關閉Office執行巨集程式碼

緊急預警:GandCrab5.2勒索病毒冒充公安進行魚叉郵件攻擊

2、開啟電腦管家的文件守護者功能,利用磁碟冗餘空間自動備份資料文件,即使發生意外,資料也可有備無患。




相關文章