1、基本情况

　　近日发现包含中文诱饵的压缩包样本，经分析确认，该压缩包内为GandCrab 5.2勒索软件。攻击者通过用户对该诱饵文件解压并点击打开后，便可成功执行GandCrab 5.2勒索病毒。

　　2、攻击原理

　　通过对诱饵的分析，发现本次投放的样本名称为”裝運單據.rar”

　　压缩包中” 送貨信息.doc.exe”以及”聯繫方式.exe”文件属性为隐藏，因此正常用户在解压完压缩包后，在没有设置显示隐藏文件的情况下会显示图标为word文档的快捷方式。

　　有趣的是，由于攻击者的粗心大意，在其创建快捷方式时并没有校验压缩包打包的路径，使得用户直接点击压缩包中快捷方式时调用GandCrab程序失败。

　　因此，这起攻击必须在桌面上进行解压，并且要选择解压到当前文件夹，才能够在点击快捷方式后，成功执行GandCrab勒索病毒。

　　顺便一提，攻击者的电脑名和电脑用户名也因此暴露。

　　用户名: C:\Users\Admin\Desktop\裝運單據\送貨信息.doc.exe

　　电脑名：win-0ev5o0is9i7

　　并且，样本的打包时间是5月6号，3点38分，可以断定攻击者与中国时区不一致。

　　样本启动后，程序会解密出一段shellcode并执行：

　　执行后，其会解密出gandcrab的核心模块并执行，下图中显示了GandCrab版本号为5.2：

　　加密文件后缀如下：

　　此外，其还会通过cmd删除卷缩影

　　C:\Windows\system32\cmd.exe  /c vssadmin delete shadows /all /quiet

　　勒索信息如下：

　　加密文件如下：

　　3、影响范围

　　此病毒涉及范围很广，请各企业用户、事业单位、政府部门等做好安全防护，加强安全意识，以尽可能防御此类病毒攻击。

　　4、处置建议

　　1) 请持续关注国内外厂商对Gandcrab 5.2的解密情况，同时可以将http://www.kakaocorp.link/置黑，从而排查内部是否有设备被勒索软件攻击。

　　Gandcrab 5.1之前版本的解密工具：

　　https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

　　2) 尽量关闭不必要的端口，如 445、135，139 等，对 3389、5900 等端口可进行白名单配置，只允许白名单内的 IP 连接登陆。

　　3) 不要打开任何未知来源的电子邮件，尤其是不要打开附件。

　　4) 采用高强度的密码，避免使用弱口令密码，并定期更换密码。

　　5) 及时更新软件，安装补丁。

　　5、 参考链接

　　1) https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/