微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

2019-03-14 18:01 御见威胁情报中心

概述


腾讯御见威胁情报中心检测到,不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,包含“Min,Gap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar"。


GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,该病毒在过去一年时间经过5次大版本更新,腾讯威胁情报中心曾多次发布预警,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。


攻击邮件内容


GandCrab在国内近期投递恶意邮件较多,主要有以下几种形式:



例如本次攻击我国政府本门的附件内直接包含了exe文件:



附件内为韩语版本文件名,exe使用空格做伪装的超长文件名:



附件使用伪装的pdf文件:


借助doc宏文档执行DownLoader传播。


腾讯电脑管家和腾讯御点终端安全管理系统均可拦截:




分析



附件中的EXE实际为外壳程序,通过在内存解密出真正的勒索程序加载payload:
 


查看Dump后模块入口为GandCrab标准花指令混淆,目的为干扰静态分析:
 


目前发现众多GandCrab 5.2系列版本病毒会使用一个固定名为BitHuender的互斥量,Bitdefender曾多次联合警方对GandCrab勒索病毒进行物理打击,对过去多个历史版本的病毒进行了解密,病毒作者互斥体起名与Bitdefender神似,猜测故意为之。
 


测试开启该互斥体情况下,GandCrab 5.2病毒版本运行后会直接自删除,从而跳过恶意加密行为,利用此方法可简单有效避开部分病毒版本。
 


GandCrab 5.2版本运行后会首先结束大量文件占用类进程,防止加密过程中产生异常。
 


并获取当前操作系统语言做白名单过滤。

419(俄罗斯)422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克)  45A(叙利亚)  2801(未知)。
 


GandCrab 5.2同样会收集用户机器信息。
 


在内存中解密出RSA公钥。
 


内存中解密出白文件不加密扩展后缀。
 


解密出大量加密扩展后缀。
 


通过在内存中解密出白名单不加密目录,主要有以下目录:


  • ProgramData

  • IETldCache

  • Boot

  • Tor Browser

  • All Users

  • Local Settings

  • Windows



最终使用salsa20加密原始文件内容。
 


文件加密完成后添加随机扩展后缀。
 

 


IOCs
MD5:
fde0e8de7119080ec1705eba74037514
d5ad7b954eace2f26a37c5b9faaf0e53


安全建议


企业用户:

1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。


2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。


3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。


4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。


5、对重要文件和数据(数据库等数据)进行定期非本地备份。


6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。


7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。



8、建议全网安装御点终端安全管理系统:


(https://s.tencent.com/product/yd/index.html)


御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。



个人用户:


1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码。


2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。



转载自:腾讯御见威胁情报中心


- End -


(晋级赛Q1正在火热进行中~!比赛时间:3.10-3.24)




热门文章阅读


1、NFC支付新方法!刷卡也能指纹支付了

2、网盘鼻祖Box敏感数据被“分享”,90多家公司文件夹可公开访问

3、已更新至第8章 | LLVM编译框架详解

4、看雪讲师纵队已预备,只差一个你!




公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com


点击阅读原文,了解更多~

 
看雪学院 更多文章 赛况直播 | 2019 KCTF 开战,这里只用实力说话 使用IDA pro逆向ARM M系核心的Bin固件 今天中午12点,相约看雪CTF 晋级赛Q1,battle起来! 看雪会员专享(含餐)| 第九期网络安全创新发展高端论坛——人工智能安全 ScyllaHide的Hook原理
猜您喜欢 未来技术 微信早报 | 马云、马化腾力挺小米 IPO;腾讯又获 2.9 亿元融资 漫画:为什么 C 被踢出窗外? 社交投资平台初探 干货|初探Vuejs