查看: 1680|回复: 2
收起左侧

[技术原创] GandCrab再更新,月入近两千万!

[复制链接]
360主动防御
发表于 2019-2-22 15:41:14 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2019-2-22 15:46 编辑


GandCrab勒索病毒本周进行了一次更新,更新到v5.2版本, 目前已有国内用户反馈中招。之前的v5.1版本因密钥泄露,已经被破解,360解密大师也支持了该勒索病毒之前版本的解密,而病毒此次更新主要就是为了应对密钥泄露问题,更换了加密使用的主密钥。

情况介绍
GandCrab勒索病毒家族在国内传播广泛,曾使用U盘蠕虫、下载器、远程桌面爆破、永恒之蓝漏洞等各种方式传播,而这次病毒传播者又开启了挂马传播技能,对个人用户危害严重!近期病毒作者更是贴出了上个月的收入,总计超过285万美元,折合人民币超过1926万!
1 作者在暗网论坛展示的收入情况
作者之所以会公开自己的收入,主要是希望通过这种方式吸引更多恶意软件传播者加入其中。从其病毒传播的多元性上,也能印证这一做法确实有效。这种代{过}{滤}理合作的传播方式,也让其成为2018年传播量最大、传播渠道最广的勒索病毒之一。一直以来,GandCrab都紧跟技术发展,比如在2018年9月份的更新中,该勒索病毒就加入了对CVE-2018-0896(Windows 10提权漏洞)的利用。

在2019年,GandCrab又开启新传播方式——利用网页挂马进行传播。挂马站点在色情站点投放广告,利用色情站点跳转挂马页面实施攻击。本次主要利用了Fallout Exploit Kit工具,Fallout Exploit Kit近期做过一次更新,添加了对CVE-2018-4878(Adobe Flash Player漏洞)、CVE-2018-8174(Windows VBScript引擎远程代码执行漏洞)的漏洞利用。
2 挂马页面展示


GandCrab目前对解密单个机器的要价为3000美元,而在2018年11月份到12月份,针对单个用户索要的赎金金额则是500美元,赎金价格的大幅上涨也显著提升了作者的收益。
3 新版GandCrab勒索支付页面
简要分析
v5.2版本的GandCrab在代码上与v5.1版变动不大。和v5.1版本类似,程序在多处存在代码错位用来干扰静态分析:
4 经代码错位手段处理过的代码片段

病毒启动之后会等待大约28秒,之后开始执行恶意代码。在设置这个等待间隔上,病毒没有使用传统的如sleep或者直接设置一个定时器触发函数之类方法,而是设置了一个1.337秒触发一次的定时器,在其第21次触发时开始工作。
5 通过定时器实现延迟启动的功能

在完成一些必要的代码初始化操作之后(如提权、初始化部分API等),病毒开始正式工作,首先会收集一些机器及用户信息。收集到这些信息后,会将其统一加密并保存到本地生成的勒索信息文件中。而当用户寻求解密的时候(需向黑客提交勒索信息文件),这些信息便会随文件一同提交给黑客,用户进行解密时,同时也会造成用户隐私信息的泄露。
6 收集用户信息数据

而在文件加密方面,GandCrab v5.2会对超过300种文件进行加密。具体文件列表如下图所示:
7 GandCrab加密的文件类型列表

当发现有符合类型的文件,便会进入加密流程:
8 勒索病毒加密功能代码
其加密的具体步骤为:
1.      使用字符串“@hashbreaker Daniel J. Bernstein let's dance salsa”做为密钥,通过Salsa20算法解密内置的RSA公钥;
2.      生成一个随机字符串作为Salsa20密钥(以下称“密钥1”),使用内置的RSA2048公钥加密密钥1后保存到勒索信息文件中
3.      生成一对RSA密钥,使用密钥1加密RSA私钥(以下称“生成的私钥”)后保存到勒索信息文件中,同时将生成的RSA公钥(以下称“生成的公钥”)也保存在勒索信息文件中
4.      为每个待加密的文件生成一个随机字符串作为Salsa20密钥(以下称“密钥2”),使用该密钥加密文件
5.      使用生成的公钥加密密钥2后保存到每个被加密文件的末尾

为了更加形象的说明这个颇为复杂的流程,我们制作了一张流程图如下所示:
9 勒索病毒加密流程图

最终在全部加密完成后,病毒会修改桌面壁纸并展示勒索信息:
10 展示勒索信息
安全建议
使用360安全卫士的用户无需担心,360安全卫士无需升级就能够拦截GandCrab v5.2勒索病毒。用户可使用360安全卫士系统修复功能,及时给系统和应用软件打补丁,防范挂马攻击。同时也应防范病毒在其它渠道的攻击,服务器管理员应及时安装补丁,修复服务器系统、Web应用漏洞,使用强度高的服务器登录口令与Web应用后台登录密码,防止攻击者通过漏洞利用或弱口令爆破等方式攻击服务器。
11 360安全卫士拦截





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
dg1vg4
发表于 2019-2-22 16:13:31 | 显示全部楼层
为什么这么熟练啊?
sevenday
发表于 2019-2-23 23:44:05 | 显示全部楼层
大牛啊,月入两千万,我们做实体的一年也做不到这么多
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:04 , Processed in 0.146644 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表