勒索病毒GandCrab5.1來襲

最近全新的勒索病毒又來了,勒索病毒GandCrab5.1來襲,這個病毒傳播感染多式多種多樣，使用的技術也不斷升級，勒索病毒主要采用RSA+salsa20相結合的加密算法，導致加密後的文件，無法被解密,不過本站提供的SfabAntiBot殺毒工具能夠為您提供有效防治,歡迎下載!

勒索病毒GandCrab5.1來襲:

入侵分析

文件加密時間為2019/1/22 4:22左右。排查日誌發現，服務器在2019/1/224:11:54被遠程登錄過。該IP後麵又分別在2019/1/22 4:32:45和2019/1/22 5:02:25再次登錄該服務器。登錄後，通過瀏覽器下載了勒索病毒體並進行勒索。

勒索完成後，再次通過瀏覽器下載內網掃描工具Advanced IP Scanner 2，試圖勒索更多內網主機。

樣本分析

相對於GandCrab之類的版本，GandCrab5.1版本同樣采用了靜態對抗反彙編的方法，阻止安全分析人員對樣本進行靜態分析

樣本的勒索信息版本號變為了5.1

遍曆進程，結束相關進程

相關的進程列表

msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe

dbsnmp.exe、synctime.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe

sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe

agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe

ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe

sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe

onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe

thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe

創建互斥變量體，變量名Global\[隨機字符串]+[.fuck]

查詢操作係統安裝的輸入法以及語言版本，GandCrab5.1版本同樣增加了不對敘利亞地區的主機進行加密操作

當操作係統語言為如下國家時，則不進行加密，執行自刪除操作，相應的國家列表如下：

419(LANG_RUSSIAN俄語) 422(LANG_UKRAINIAN烏克蘭)

423(LANG_BELARUSIAN白俄羅斯) 428(LANG_TAJIK塔吉克)

42B(LANG_ARMENIAN亞美尼亞) 42C(阿塞拜疆，拉丁美洲(AZ))

437(LANG_GEORGIAN格魯吉亞人) 43F(LANG_KAZAK哈薩克族)

440(LANG_KYRGYZ吉爾吉斯) 442(LANG_TURKMEN土庫曼)

443(烏茲別克斯坦，拉丁語(UZ))444(LANG_TATAR俄羅斯(RU))

82C(LANG_AZERI阿塞拜疆，西裏爾(亞利桑那州)) 843(LANG_UZBEK烏茲別克)

45A(敘利亞SYR)2801(敘利亞SY)

獲取主機相關信息

獲取的相關信息列表如下：

用戶名

主機名

工作組

操作係統語言

操作係統鍵盤輸入法

操作係統版本類型信息

CPU類型及型號信息

安全軟件信息

磁盤類型及空間信息

遍曆主機上的安全軟件，收集安全軟件相關信息，相應的安全軟件信息

相應的安全軟件列表信息，如下所示：

AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe

avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe

cfp.exe、msmpeng.exe

將收集到的信息，進行加密，加密過程

加密後的數據

從內存中解密出RSA公鑰信息

生成再通過微軟的函數生成RSA公私鑰對

生成的RSA的公私鑰，並設置到相應的注冊表

內存解密出勒索信息等字符串

然後生成隨機的加密後綴名，並轉化為大寫字母

創建兩個線程，分別遍曆磁盤目錄和共享目錄文件夾下的文件進行加密，遍曆磁盤目錄

遍曆共享目錄文件

從內存中解密出相應的加密文件後綴名列表以及相應的目錄

相應的後綴名列表，如下所示：

rar zip cab arj lzh tar 7z gzip iso7-zip lzma vmx vmdk vmem vdi  vbox 1st602 doc xlm xlsx xlsm xltx xltm xlsb xla xlam xll xlw ppt pot pps pptx pptmpotx potm ppam ppsx ppsm sldx sldm xps xls xlt doc dotm docx abw act adoc aimans apkg apt asc asc ascii ase aty awp awt aww bad bbs bdp bdr bean bib bibbibtex bml bna boc brx btd bzabw cal ca charset chart chord cnm cod crwl cwscyi dca dfti dgs diz dne dot doc docm dotx docx doc xml docz dox dropbox dscdvi dwd dx dxb dxp eio eit emf eml emlx emulecollection epp err etf etx eucfadeintemplate faq fbl fcf fdffdr fds fdt fdx fdxt fft fgs flr fodt fountainfpt frt fwd fwdn gmd gpd gpn gsd gthr gv hbk hht hs hwp hwp hz idx iil ipfipspot jarvis jis jnp joe jp1 jrtf jtd kes klg knt kon kwd latex lbtlis lnt loglp2 lst lst ltr ltx lue luf lwp lxfml lyt lyx man mbox mcw md5 me mell mellelmin mnt msg mw mwd mwp nbndoc nfo ngloss njx note notes now nwctxt nwm nwp ocrodif odm odo odt ofl opeico openbsd ort ott p7s pages pages-tef pdpcmd pfx pjtplain plantumlpmo prt prt psw pu pvj pvm pwd pwdp pwdpl pwi pwr qdl qpf radreadme rft ris rpt rst rtd rtf rtfd rtx run rvf rzk rzn saf safetext sam samsave scc scm scriv scrivx sct scw sdm sdoc sdw se session sgm sig skcard slaslagzsmf sms ssa story strings stw sty sublime-project sublime-workspace sxgsxw tab tab tdf tdf template text textclipping thp tlb tm tmd tmdx tmv tmvx tpctrelby tvj txt u3i unauth unx uof uot upd utf8 utxt vct vntvw wbk webdoc wn wpwp4 wp5 wp6 wp7 wpa wpd wpd wpd wpl wps wpswpt wpt wpw wri wsd wtt wtx xbdoc xbplatexdl xdl xwp xwp xwp xyxy3 xyp xyw zabw zrtf zw ani cab cpl cur diagcab diagpkgdrv lock hlpldf icl icnsico ics lnk key idx mod mpa msc msp msstyles msunomedia ocx prf rom rtp scr shs spl sys theme

遍曆磁盤如果為以下目錄，則不加密文件，相應的目錄列表，如下所示：

\ProgramData\

\IEIldCache\

\Boot\

\Program Files\

\Tor Browser\

\All Users\

\Local Settings\

\Windows\

遍曆文件進行加密

加密後的文件，後綴為隨機的後綴名

加密之後，將之前獲取的主機相關信息加密之後，上傳到遠程服務器

相應的遠程服務器地址：www.kakaocorp.link

生成相應的勒索信息文本文件

並設置勒索信息桌麵背景圖片

打開相應的TOR網絡地址