信息來源:4hou
概述
騰訊御見威脅情報中心檢測到,不法分子正在使用GandCrab5.2勒索病毒對我國政府部分政府部門工作人員進行魚叉郵件攻擊。攻擊郵件主題為“你必須在3月11日下午3點向警察局報到����!”�,攻擊郵件主題為“你必須在3月11日下午3點向警察局報到�����!”�,包含“Min���,Gap Ryong”及其他假冒的發(fā)件人約70余個�,郵件附件名為“03-11-19.rar"�。
GandCrab勒索病毒是國內(nèi)目前最活躍的勒索病毒之一,該病毒在過去一年時間經(jīng)過5次大版本更新�����,騰訊威脅情報中心曾多次發(fā)布預(yù)警�����,該病毒作者也一直和安全廠商、執(zhí)法部門斗智斗勇����。該病毒在國內(nèi)擅長使用弱口令爆破,掛馬���,垃圾郵件傳播�,該病毒由于使用了RSA+Salsa20的加密方式�����。無法拿到病毒作者手中私鑰常規(guī)情況下無法解密�。
攻擊郵件內(nèi)容
GandCrab在國內(nèi)近期投遞惡意郵件較多,主要有以下幾種形式
例如本次攻擊我國政府本門的附件內(nèi)直接包含了exe文件
附件內(nèi)為韓語版本文件名����,exe使用空格做偽裝的超長文件名
附件使用偽裝的pdf文件
借助doc宏文檔執(zhí)行DownLoader傳播
騰訊電腦管家和騰訊御點終端安全管理系統(tǒng)均可攔截
分析
附件中的EXE實際為外殼程序,通過在內(nèi)存解密出真正的勒索程序加載payload
查看Dump后模塊入口為GandCrab標(biāo)準花指令混淆����,目的為干擾靜態(tài)分析
目前發(fā)現(xiàn)眾多GandCrab 5.2系列版本病毒會使用一個固定名為BitHuender的互斥量,Bitdefender曾多次聯(lián)合警方對GandCrab勒索病毒進行物理打擊�,對過去多個歷史版本的病毒進行了解密,病毒作者互斥體起名與Bitdefender神似�,猜測故意為之���。
測試開啟該互斥體情況下,GandCrab 5.2病毒版本運行后會直接自刪除�����,從而跳過惡意加密行為�����,利用此方法可簡單有效避開部分病毒版本����。
GandCrab 5.2版本運行后會首先結(jié)束大量文件占用類進程���,防止加密過程中產(chǎn)生異常
并獲取當(dāng)前操作系統(tǒng)語言做白名單過濾
419(俄羅斯)422(烏克蘭) 423(比利時) 428(塔吉克) 42c(阿塞拜疆) 437(格魯吉亞) 43f(吉爾吉斯坦) 440(吉爾吉斯斯坦) 442(土庫曼) 443(烏茲別克斯坦) 444(韃靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(烏茲別克) 45A(敘利亞) 2801(未知)
GandCrab 5.2同樣會收集用戶機器信息
在內(nèi)存中解密出RSA公鑰
內(nèi)存中解密出白文件不加密擴展后綴
解密出大量加密擴展后綴
通過在內(nèi)存中解密出白名單不加密目錄�����,主要有以下目錄
ProgramData
IETldCache
Boot
Tor Browser
All Users
Local Settings
Windows
最終使用salsa20加密原始文件內(nèi)容
文件加密完成后添加隨機擴展后綴
IOCs
MD5:
fde0e8de7119080ec1705eba74037514
d5ad7b954eace2f26a37c5b9faaf0e53
安全建議
企業(yè)用戶:
1�����、盡量關(guān)閉不必要的端口���,如:445�、135����,139等,對3389���,5900等端口可進行白名單配置���,只允許白名單內(nèi)的IP連接登陸。
2�����、盡量關(guān)閉不必要的文件共享�����,如有需要���,請使用ACL和強密碼保護來限制訪問權(quán)限����,禁用對共享文件夾的匿名訪問。
3���、采用高強度的密碼�����,避免使用弱口令密碼�����,并定期更換密碼���。建議服務(wù)器密碼使用高強度且無規(guī)律密碼�����,并且強制要求每個服務(wù)器使用不同密碼管理�。
4、對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制���,避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進一步攻擊其他服務(wù)器�����。
5���、對重要文件和數(shù)據(jù)(數(shù)據(jù)庫等數(shù)據(jù))進行定期非本地備份�。
6�����、教育終端用戶謹慎下載陌生郵件附件����,若非必要,應(yīng)禁止啟用Office宏代碼���。
7����、在終端/服務(wù)器部署專業(yè)安全防護軟件�����,Web服務(wù)器可考慮部署在騰訊云等具備專業(yè)安全防護能力的云服務(wù)���。
8����、建議全網(wǎng)安裝御點終端安全管理系統(tǒng)。御點終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控����、修復(fù)漏洞統(tǒng)一管控,以及策略管控等全方位的安全管理功能�,可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況����、保護企業(yè)安全。
個人用戶:
1�、啟用騰訊電腦管家,勿隨意打開陌生郵件�,關(guān)閉Office執(zhí)行宏代碼。
2����、打開電腦管家的文檔守護者功能����,利用磁盤冗余空間自動備份數(shù)據(jù)文檔,即使發(fā)生意外,數(shù)據(jù)也可有備無患�。
