首页
社区
课程
招聘
[原创]月入2千万的GandCrab v5.2 这一波到底干了什么?
发表于: 2019-2-22 16:33 11147

[原创]月入2千万的GandCrab v5.2 这一波到底干了什么?

2019-2-22 16:33
11147

GandCrab勒索病毒本周进行了一次更新,更新到v5.2版本, 目前已有国内用户反馈中招。之前的v5.1版本因密钥泄露,已经被破解,360解密大师也支持了该勒索病毒之前版本的解密,而病毒此次更新主要就是为了应对密钥泄露问题,更换了加密使用的主密钥。

情况介绍


GandCrab勒索病毒家族在国内传播广泛,曾使用U盘蠕虫、下载器、远程桌面爆破、永恒之蓝漏洞等各种方式传播,而这次病毒传播者又开启了挂马传播技能,对个人用户危害严重!近期病毒作者更是贴出了上个月的收入,总计超过285万美元,折合人民币超过1926万!



( 作者在暗网论坛展示的收入情况 )


作者之所以会公开自己的收入,主要是希望通过这种方式吸引更多恶意软件传播者加入其中。从其病毒传播的多元性上,也能印证这一做法确实有效。这种代理合作的传播方式,也让其成为2018年传播量最大、传播渠道最广的勒索病毒之一。一直以来,GandCrab都紧跟技术发展,比如在2018年9月份的更新中,该勒索病毒就加入了对CVE-2018-0896(Windows 10提权漏洞)的利用。


在2019年,GandCrab又开启新传播方式——利用网页挂马进行传播。挂马站点在色情站点投放广告,利用色情站点跳转挂马页面实施攻击。本次主要利用了Fallout Exploit Kit工具,Fallout Exploit Kit近期做过一次更新,添加了对CVE-2018-4878(Adobe Flash Player漏洞)、CVE-2018-8174(Windows VBScript引擎远程代码执行漏洞)的漏洞利用。



( 挂马页面展示 )


GandCrab目前对解密单个机器的要价为3000美元,而在2018年11月份到12月份,针对单个用户索要的赎金金额则是500美元,赎金价格的大幅上涨也显著提升了作者的收益。



( 新版GandCrab勒索支付页面 )


简要分析

v5.2版本的GandCrab在代码上与v5.1版变动不大。和v5.1版本类似,程序在多处存在代码错位用来干扰静态分析:



( 经代码错位手段处理过的代码片段 )


病毒启动之后会等待大约28秒,之后开始执行恶意代码。在设置这个等待间隔上,病毒没有使用传统的如sleep或者直接设置一个定时器触发函数之类方法,而是设置了一个1.337秒触发一次的定时器,在其第21次触发时开始工作。



( 通过定时器实现延迟启动的功能 )


在完成一些必要的代码初始化操作之后(如提权、初始化部分API等),病毒开始正式工作,首先会收集一些机器及用户信息。收集到这些信息后,会将其统一加密并保存到本地生成的勒索信息文件中。而当用户寻求解密的时候(需向黑客提交勒索信息文件),这些信息便会随文件一同提交给黑客,用户进行解密时,同时也会造成用户隐私信息的泄露。



( 收集用户信息数据 )


而在文件加密方面,GandCrab v5.2会对超过300种文件进行加密。具体文件列表如下图所示:



( GandCrab加密的文件类型列表 )


当发现有符合类型的文件,便会进入加密流程:



( 勒索病毒加密功能代码 )


其加密的具体步骤为:

1.、使用字符串“@hashbreaker Daniel J. Bernstein let's dance salsa”做为密钥,通过Salsa20算法解密内置的RSA公钥;

2、生成一个随机字符串作为Salsa20密钥(以下称“密钥1”),使用内置的RSA2048公钥加密密钥1后保存到勒索信息文件中

3、生成一对RSA密钥,使用密钥1加密RSA私钥(以下称“生成的私钥”)后保存到勒索信息文件中,同时将生成的RSA公钥(以下称“生成的公钥”)也保存在勒索信息文件中

4、为每个待加密的文件生成一个随机字符串作为Salsa20密钥(以下称“密钥2”),使用该密钥加密文件

5、使用生成的公钥加密密钥2后保存到每个被加密文件的末尾

为了更加形象的说明这个颇为复杂的流程,我们制作了一张流程图如下所示:



( 勒索病毒加密流程图 )


最终在全部加密完成后,病毒会修改桌面壁纸并展示勒索信息:



( 展示勒索信息 )

安全建议


使用360安全卫士的用户无需担心,360安全卫士无需升级就能够拦截GandCrab v5.2勒索病毒。用户可使用360安全卫士系统修复功能,及时给系统和应用软件打补丁,防范挂马攻击。同时也应防范病毒在其它渠道的攻击,服务器管理员应及时安装补丁,修复服务器系统、Web应用漏洞,使用强度高的服务器登录口令与Web应用后台登录密码,防止攻击者通过漏洞利用或弱口令爆破等方式攻击服务器。



( 360安全卫士拦截 )



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 2490
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
a ???
2019-2-22 17:20
0
雪    币: 236
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
nice
2019-4-19 15:46
0
雪    币: 177
活跃值: (278)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
心动了吗
2019-5-21 22:24
0
游客
登录 | 注册 方可回帖
返回
//