1、基本情况
近日发现包含中文诱饵的压缩包样本,经分析确认,该压缩包内为GandCrab 5.2勒索软件。攻击者通过用户对该诱饵文件解压并点击打开后,便可成功执行GandCrab 5.2勒索病毒。
2、攻击原理
通过对诱饵的分析,发现本次投放的样本名称为”裝運單據.rar”
压缩包中” 送貨信息.doc.exe”以及”聯繫方式.exe”文件属性为隐藏,因此正常用户在解压完压缩包后,在没有设置显示隐藏文件的情况下会显示图标为word文档的快捷方式。
有趣的是,由于攻击者的粗心大意,在其创建快捷方式时并没有校验压缩包打包的路径,使得用户直接点击压缩包中快捷方式时调用GandCrab程序失败。
因此,这起攻击必须在桌面上进行解压,并且要选择解压到当前文件夹,才能够在点击快捷方式后,成功执行GandCrab勒索病毒。
顺便一提,攻击者的电脑名和电脑用户名也因此暴露。
用户名: C:\Users\Admin\Desktop\裝運單據\送貨信息.doc.exe
电脑名:win-0ev5o0is9i7
并且,样本的打包时间是5月6号,3点38分,可以断定攻击者与中国时区不一致。
样本启动后,程序会解密出一段shellcode并执行:
执行后,其会解密出gandcrab的核心模块并执行,下图中显示了GandCrab版本号为5.2:
加密文件后缀如下:
此外,其还会通过cmd删除卷缩影
C:\Windows\system32\cmd.exe /c vssadmin delete shadows /all /quiet
勒索信息如下:
加密文件如下:
3、影响范围
此病毒涉及范围很广,请各企业用户、事业单位、政府部门等做好安全防护,加强安全意识,以尽可能防御此类病毒攻击。
4、处置建议
1) 请持续关注国内外厂商对Gandcrab 5.2的解密情况,同时可以将http://www.kakaocorp.link/置黑,从而排查内部是否有设备被勒索软件攻击。
Gandcrab 5.1之前版本的解密工具:
https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/
2) 尽量关闭不必要的端口,如 445、135,139 等,对 3389、5900 等端口可进行白名单配置,只允许白名单内的 IP 连接登陆。
3) 不要打开任何未知来源的电子邮件,尤其是不要打开附件。
4) 采用高强度的密码,避免使用弱口令密码,并定期更换密码。
5) 及时更新软件,安装补丁。
5、 参考链接
1) https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/