您的位置: 首页  >  文章  >  勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

分类: 文章 2024-09-17 19:50:34

腾讯御见威胁情报中心检测到,不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,攻击邮件主题为“你必须在3月11日下午3点向警察局报到!”,包含“Min,Gap Ryong”及其他假冒的发件人约70余个,邮件附件名为“03-11-19.rar"。

GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,该病毒在过去一年时间经过5次大版本更新,腾讯威胁情报中心曾多次发布预警,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令**,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
攻击邮件内容

GandCrab在国内近期投递恶意邮件较多,主要有以下几种形式
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

例如本次攻击我国政府本门的附件内直接包含了exe文件
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

附件内为韩语版本文件名,exe使用空格做伪装的超长文件名
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

附件使用伪装的pdf文件
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
借助doc宏文档执行DownLoader传播

腾讯电脑管家和腾讯御点终端安全管理系统均可拦截
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
分析
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
附件中的EXE实际为外壳程序,通过在内存解密出真正的勒索程序加载payload

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
查看Dump后模块入口为GandCrab标准花指令混淆,目的为干扰静态分析

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
目前发现众多GandCrab 5.2系列版本病毒会使用一个固定名为BitHuender的互斥量,Bitdefender曾多次联合警方对GandCrab勒索病毒进行物理打击,对过去多个历史版本的病毒进行了解密,病毒作者互斥体起名与Bitdefender神似,猜测故意为之。
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
测试开启该互斥体情况下,GandCrab 5.2病毒版本运行后会直接自删除,从而跳过恶意加密行为,利用此方法可简单有效避开部分病毒版本。
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
GandCrab 5.2版本运行后会首先结束大量文件占用类进程,防止加密过程中产生异常

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
并获取当前操作系统语言做白名单过滤
419(俄罗斯)422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克) 45A(叙利亚) 2801(未知)
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
GandCrab 5.2同样会收集用户机器信息

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

在内存中解密出RSA公钥
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

内存中解密出白文件不加密扩展后缀
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

解密出大量加密扩展后缀
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

通过在内存中解密出白名单不加密目录,主要有以下目录

ProgramData
IETldCache
Boot
Tor Browser
All Users
Local Settings
Windows
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
最终使用salsa20加密原始文件内容
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
文件加密完成后添加随机扩展后缀
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
IOCs
MD5:
fde0e8de7119080ec1705eba74037514
d5ad7b954eace2f26a37c5b9faaf0e53

安全建议

1、 在终端上安装御点终端安全产品,开启最新更新,可以及时对GandCrab勒索病毒威胁进行检测和查杀;

2、 采用创宇云图ATD检测设备,通过异常行为模型可以有效的对流量中的GandCrab勒索病毒威胁进行监测报警;同时使用云图产品和御点系统进行联动防御。

3、 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

4、 尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

5、 采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

6、 对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

7、 对重要文件和数据(数据库等数据)进行定期非本地备份。

8、 教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击

腾讯御点由具备全球顶尖攻防及病毒研究能力的腾讯和知道创宇“7+1”联合实验室支持,安全能力屡获国际评测认证,全球七大权威机构病毒查杀能力评测大满贯,100次+最高评级。御点独有的腾讯TAV反病毒引擎,基于700亿+海量样本的全体系支撑,后台云计算平台提供病毒DNA解析大数据处理,支持TAV智能打击恶意病毒。

勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击
创宇云图通过人工智能、大数据与安全技术的结合进行高效的多维度网络异常行为检测,具备独特的威胁基因图谱检测技术,能够全面识别已知勒索病毒变种以及未知病毒威胁。创宇云图的网络异常检测、网络入侵检测、威胁变种检测、未知威胁检测、主机威胁检测、威胁情报检测和大数据关联分析功能,可追踪勒索病毒感染路径,进行预警,避免病毒感染范围扩大。

创宇云图与御点联动防御,配置灵活,反应迅速。对于需要防护的系统,可以建立完整的防护体系,对于遭遇攻击的系统,可以快速应急,查杀病毒,然后形成完整的防护体系。

相关推荐