本帖最后由 360主动防御 于 2019-2-22 15:46 编辑
GandCrab勒索病毒本周进行了一次更新,更新到v5.2版本, 目前已有国内用户反馈中招。之前的v5.1版本因密钥泄露,已经被破解,360解密大师也支持了该勒索病毒之前版本的解密,而病毒此次更新主要就是为了应对密钥泄露问题,更换了加密使用的主密钥。
情况介绍GandCrab勒索病毒家族在国内传播广泛,曾使用U盘蠕虫、下载器、远程桌面爆破、永恒之蓝漏洞等各种方式传播,而这次病毒传播者又开启了挂马传播技能,对个人用户危害严重!近期病毒作者更是贴出了上个月的收入,总计超过285万美元,折合人民币超过1926万! 图1 作者在暗网论坛展示的收入情况 作者之所以会公开自己的收入,主要是希望通过这种方式吸引更多恶意软件传播者加入其中。从其病毒传播的多元性上,也能印证这一做法确实有效。这种代{过}{滤}理合作的传播方式,也让其成为2018年传播量最大、传播渠道最广的勒索病毒之一。一直以来,GandCrab都紧跟技术发展,比如在2018年9月份的更新中,该勒索病毒就加入了对CVE-2018-0896(Windows 10提权漏洞)的利用。
在2019年,GandCrab又开启新传播方式——利用网页挂马进行传播。挂马站点在色情站点投放广告,利用色情站点跳转挂马页面实施攻击。本次主要利用了Fallout Exploit Kit工具,Fallout Exploit Kit近期做过一次更新,添加了对CVE-2018-4878(Adobe Flash Player漏洞)、CVE-2018-8174(Windows VBScript引擎远程代码执行漏洞)的漏洞利用。 图2 挂马页面展示
GandCrab目前对解密单个机器的要价为3000美元,而在2018年11月份到12月份,针对单个用户索要的赎金金额则是500美元,赎金价格的大幅上涨也显著提升了作者的收益。 图3 新版GandCrab勒索支付页面 简要分析
v5.2版本的GandCrab在代码上与v5.1版变动不大。和v5.1版本类似,程序在多处存在代码错位用来干扰静态分析: 图4 经代码错位手段处理过的代码片段
病毒启动之后会等待大约28秒,之后开始执行恶意代码。在设置这个等待间隔上,病毒没有使用传统的如sleep或者直接设置一个定时器触发函数之类方法,而是设置了一个1.337秒触发一次的定时器,在其第21次触发时开始工作。 图5 通过定时器实现延迟启动的功能
在完成一些必要的代码初始化操作之后(如提权、初始化部分API等),病毒开始正式工作,首先会收集一些机器及用户信息。收集到这些信息后,会将其统一加密并保存到本地生成的勒索信息文件中。而当用户寻求解密的时候(需向黑客提交勒索信息文件),这些信息便会随文件一同提交给黑客,用户进行解密时,同时也会造成用户隐私信息的泄露。 图6 收集用户信息数据
而在文件加密方面,GandCrab v5.2会对超过300种文件进行加密。具体文件列表如下图所示: 图7 GandCrab加密的文件类型列表
当发现有符合类型的文件,便会进入加密流程: 图8 勒索病毒加密功能代码 其加密的具体步骤为: 1. 使用字符串“@hashbreaker Daniel J. Bernstein let's dance salsa”做为密钥,通过Salsa20算法解密内置的RSA公钥; 2. 生成一个随机字符串作为Salsa20密钥(以下称“密钥1”),使用内置的RSA2048公钥加密密钥1后保存到勒索信息文件中 3. 生成一对RSA密钥,使用密钥1加密RSA私钥(以下称“生成的私钥”)后保存到勒索信息文件中,同时将生成的RSA公钥(以下称“生成的公钥”)也保存在勒索信息文件中 4. 为每个待加密的文件生成一个随机字符串作为Salsa20密钥(以下称“密钥2”),使用该密钥加密文件 5. 使用生成的公钥加密密钥2后保存到每个被加密文件的末尾
为了更加形象的说明这个颇为复杂的流程,我们制作了一张流程图如下所示: 图9 勒索病毒加密流程图
最终在全部加密完成后,病毒会修改桌面壁纸并展示勒索信息: 图10 展示勒索信息 安全建议
使用360安全卫士的用户无需担心,360安全卫士无需升级就能够拦截GandCrab v5.2勒索病毒。用户可使用360安全卫士系统修复功能,及时给系统和应用软件打补丁,防范挂马攻击。同时也应防范病毒在其它渠道的攻击,服务器管理员应及时安装补丁,修复服务器系统、Web应用漏洞,使用强度高的服务器登录口令与Web应用后台登录密码,防止攻击者通过漏洞利用或弱口令爆破等方式攻击服务器。 图11 360安全卫士拦截
|