GandCrab于2018年年初问世,主要利用RDP爆破、钓鱼邮件、捆绑软件、僵尸网络、CVE-2017-8570漏洞利用等方式进行攻击,此家族病毒采用Salsa20和RSA-2048算法对文件进行加密,并修改文件后为.GDCB、.GRAB、.KRAB或5-10位随机字母,将感染主机桌面背景替换为勒索信息图片。GandCrab5.1之前版本可尝试使用解密工具解密,最新GandCrab5.2无法解密。老勒索家族了,所以我在公开的威胁情报上找了一个最新被上传的样本做简要分析。
加壳情况
文件未加壳
互斥体
互斥体名称:Global\pc_group=WORKGROUP&ransom id=79e2d4c8a42336Gb
关进程
遍历并关闭所列举的进程,防止文件在加密过程中被占用
获取系统信息
通过注册表检查了当前用户组,所在地区,操作系统,系统版本号,CPU信息,以及磁盘类型和磁盘容量
恶意外联
通过GET和POST请求外联恶意域名
发起一个HTTP请求操作,首先通过HttpAddRequestHeadersW函数添加HTTP请求头参数,然后通过HttpSendReqst函数发送HTTP请求,并且获取HTTP响应。如果HttpSendRequestW函数返回真,则继续从网络资源获取响应数据,函数InternetReadFile通过指定HTTP连接句柄v15来获取http数据,读取到的数据存放在v16所指的缓存区,读取的字节数为a7 - 1,同时返回完整的服务器名称到lpszServerName中。其中,函数返回的结果被用于判断HTTP请求是否成功,如果成功,就继续从网络资源获取数据,如果失败,则通过函数GetLastError获取错误信息。
当前域名已无法访问
设置注册表信息
加密部分
使用CryptGenKey生成RSA的公私钥对,之后用CryptExportKey导出
使用FindFirstFileW和FindNextFileW接口遍历文件目录下的所有文件进行加密,并释放出勒索信
加密过程中注入到系统advapi32.dll
删除卷影
删除卷影拷贝,防止用户恢复原文件
|