吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 19277|回复: 37
上一主题 下一主题
收起左侧

[转载] 警惕!GandCrab 5.1来袭

  [复制链接]
跳转到指定楼层
楼主
默小白 发表于 2019-1-30 10:39 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

转自:https://www.freebuf.com/articles/terminal/194995.html

近日,深信服EDR安全团队收到客户反馈,其中一台服务器中了勒索病毒,服务器文件被加密。经过分析排查发现,该勒索病毒家族为GandCrab。GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族,该勒索病毒首次出现于2018年1月,在将近一年的时候内,经历了五个大版本的更新迭代,此勒索病毒的传播感染多式多种多样,使用的技术也不断升级,勒索病毒主要采用RSA+salsa20相结合的加密算法,导致加密后的文件,无法被解密。

本次发现的是GandCrab家族的最新版本GandCrab5.1。

一、入侵分析

文件加密时间为2019/1/22 4:22左右。排查日志发现,服务器在2019/1/224:11:54被远程登录过。该IP后面又分别在2019/1/22 4:32:45和2019/1/22 5:02:25再次登录该服务器。登录后,通过浏览器下载了勒索病毒体并进行勒索。
sss

勒索完成后,再次通过浏览器下载内网扫描工具Advanced IP Scanner 2,试图勒索更多内网主机。
sss

二、样本分析

1.相对于GandCrab之类的版本,GandCrab5.1版本同样采用了静态对抗反汇编的方法,阻止安全分析人员对样本进行静态分析,如下所示:
sss

2.样本的勒索信息版本号变为了5.1,如下所示:
sss

3.遍历进程,结束相关进程,如下所示:
sss

相关的进程列表如下所示:

msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe
dbsnmp.exe、synctime.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe
sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe
ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe
sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe
onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe
thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe

4.创建互斥变量体,变量名Global[随机字符串]+[.fuck],如下所示:
sss

5.查询操作系统安装的输入法以及语言版本,GandCrab5.1版本同样增加了不对叙利亚地区的主机进行加密操作,如下所示:
sss

当操作系统语言为如下国家时,则不进行加密,执行自删除操作,相应的国家列表如下:

419(LANG_RUSSIAN俄语) 422(LANG_UKRAINIAN乌克兰)
423(LANG_BELARUSIAN白俄罗斯) 428(LANG_TAJIK塔吉克)
42B(LANG_ARMENIAN亚美尼亚) 42C(阿塞拜疆,拉丁美洲(AZ))
437(LANG_GEORGIAN格鲁吉亚人) 43F(LANG_KAZAK哈萨克族)
440(LANG_KYRGYZ吉尔吉斯) 442(LANG_TURKMEN土库曼)
443(乌兹别克斯坦,拉丁语(UZ))444(LANG_TATAR俄罗斯(RU))
82C(LANG_AZERI阿塞拜疆,西里尔(亚利桑那州)) 843(LANG_UZBEK乌兹别克)
45A(叙利亚SYR)2801(叙利亚SY)

6.获取主机相关信息,如下所示:
sss

获取的相关信息列表如下:

用户名

主机名

工作组

操作系统语言

操作系统键盘输入法

操作系统版本类型信息

CPU类型及型号信息

安全软件信息

磁盘类型及空间信息

遍历主机上的安全软件,收集安全软件相关信息,相应的安全软件信息,如下所示:
sss

相应的安全软件列表信息,如下所示:

AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe

avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe

cfp.exe、msmpeng.exe

将收集到的信息,进行加密,加密过程,如下所示:
sss

加密后的数据,如下所示:
sss

7.从内存中解密出RSA公钥信息,如下所示:
sss

生成再通过微软的函数生成RSA公私钥对,如下所示:
sss

生成的RSA的公私钥,并设置到相应的注册表,如下所示:
sss

8.内存解密出勒索信息等字符串,如下所示:
sss

9.然后生成随机的加密后缀名,并转化为大写字母,如下所示:
sss

10.创建两个线程,分别遍历磁盘目录和共享目录文件夹下的文件进行加密,遍历磁盘目录,如下所示:
sss

遍历共享目录文件,如下所示:
sss

11.从内存中解密出相应的加密文件后缀名列表以及相应的目录,如下所示:
sss

相应的后缀名列表,如下所示:

rar zip cab arj lzh tar 7z gzip iso7-zip lzma vmx vmdk vmem vdi  vbox 1st602 doc xlm xlsx xlsm xltx xltm xlsb xla xlam xll xlw ppt pot pps pptx pptmpotx potm ppam ppsx ppsm sldx sldm xps xls xlt doc dotm docx abw act adoc aimans apkg apt asc asc ascii ase aty awp awt aww bad bbs bdp bdr bean bib bibbibtex bml bna boc brx btd bzabw cal ca charset chart chord cnm cod crwl cwscyi dca dfti dgs diz dne dot doc docm dotx docx doc xml docz dox dropbox dscdvi dwd dx dxb dxp eio eit emf eml emlx emulecollection epp err etf etx eucfadeintemplate faq fbl fcf fdffdr fds fdt fdx fdxt fft fgs flr fodt fountainfpt frt fwd fwdn gmd gpd gpn gsd gthr gv hbk hht hs hwp hwp hz idx iil ipfipspot jarvis jis jnp joe jp1 jrtf jtd kes klg knt kon kwd latex lbtlis lnt loglp2 lst lst ltr ltx lue luf lwp lxfml lyt lyx man mbox mcw md5 me mell mellelmin mnt msg mw mwd mwp nbndoc nfo ngloss njx note notes now nwctxt nwm nwp ocrodif odm odo odt ofl opeico openbsd ort ott p7s pages pages-tef pdpcmd pfx pjtplain plantumlpmo prt prt psw pu pvj pvm pwd pwdp pwdpl pwi pwr qdl qpf radreadme rft ris rpt rst rtd rtf rtfd rtx run rvf rzk rzn saf safetext sam samsave scc scm scriv scrivx sct scw sdm sdoc sdw se session sgm sig skcard slaslagzsmf sms ssa story strings stw sty sublime-project sublime-workspace sxgsxw tab tab tdf tdf template text textclipping thp tlb tm tmd tmdx tmv tmvx tpctrelby tvj txt u3i unauth unx uof uot upd utf8 utxt vct vntvw wbk webdoc wn wpwp4 wp5 wp6 wp7 wpa wpd wpd wpd wpl wps wpswpt wpt wpw wri wsd wtt wtx xbdoc xbplatexdl xdl xwp xwp xwp xyxy3 xyp xyw zabw zrtf zw ani cab cpl cur diagcab diagpkgdrv lock hlpldf icl icnsico ics lnk key idx mod mpa msc msp msstyles msunomedia ocx prf rom rtp scr shs spl sys theme

遍历磁盘如果为以下目录,则不加密文件,相应的目录列表,如下所示:

\ProgramData\

\IEIldCache\

\Boot\

\Program Files\

\Tor Browser\

\All Users\

\Local Settings\

\Windows\

12.遍历文件进行加密,如下所示:
sss

加密后的文件,后缀为随机的后缀名,如下所示:
sss

13.加密之后,将之前获取的主机相关信息加密之后,上传到远程服务器,如下所示:
sss

相应的远程服务器地址:www.kakaocorp.link

14.生成相应的勒索信息文本文件,如下所示:
sss

sss

并设置勒索信息桌面背景图片,如下所示:
sss

  1. 打开相应的TOR网络地址,如下所示:
    sss

    解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

病毒检测查杀

可下载如下工具,免费进行检测查杀。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

免费评分

参与人数 9吾爱币 +9 热心值 +8 收起 理由
Caitingting + 1 + 1 服气了,TOR网站还有了美工。。。
Q火流星 + 1 + 1 刚中害怕
陈而戈 + 1 + 1 今天刚中,源自一个美剧压缩包
无情绝恋 + 2 + 1 我很赞同!
topcss + 1 + 1 用心讨论,共获提升!
qadan + 1 我很赞同!
ww8321213 + 1 + 1 我很赞同!
myhexdon254 + 1 + 1 谢谢@Thanks!
ee789852 + 1 真牛!!!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
hehe5240 发表于 2019-1-30 11:04
走的端口还是以前445 135 137 138 139 那几个不??
\ProgramData\

\IEIldCache\

\Boot\

\Program Files\

\Tor Browser\

\All Users\

\Local Settings\

\Windows\这些目录不加密 理论上讲把文件一直放这些目录中就不虚了嘛~~
推荐
漫步彩云端 发表于 2019-2-15 19:51
Q火流星 发表于 2019-2-15 17:38
请问哪里解密的?

客户中了病毒  然后找人 解密的 花钱解密的
---=    GANDCRAB V5.1    =---

***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************

*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****

Attention!

All your files, documents, photos, databases and other important files are encrypted and have the extension: .GXWBXEXNU   

The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.


The server with your key is in a closed network TOR. You can get there by the following ways:

----------------------------------------------------------------------------------------

| 0. Download Tor browser - https://www.torproject.org/

| 1. Install Tor browser
| 2. Open Tor Browser
| 3. Open link in TOR browser:   http://gandcrabmfe6mnef.onion/8bca70e2ee4f2d9b                        
| 4. Follow the instructions on this page
3#
villard2010 发表于 2019-1-30 11:06
4#
高苗苗 发表于 2019-1-30 11:22
技术分析点个赞!!! 话说那互斥变量体的后缀命名。。。
5#
王崽崽 发表于 2019-1-30 11:23
villard2010 发表于 2019-1-30 11:06
挽尊 技术贴人好少

水至清则无鱼
6#
darkpoet 发表于 2019-1-30 11:35
看到安全地区我在思考这病毒作者是想给俄罗斯招黑还是真的喜欢俄罗斯。
7#
yuridexiaoyu 发表于 2019-1-30 11:42
现在病毒太可怕了
8#
初吻给奶嘴耶 发表于 2019-1-30 11:45
   GandCrab都更新到GandCrab5.5了  判断系统语言是个无解的免疫工具
9#
ee789852 发表于 2019-1-30 12:09
技术贴,牛!!!
10#
BeneficialWeb 发表于 2019-1-30 12:46
真实的攻防对抗,向大佬低头。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 01:23

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表