GandCrab于2018年年初问世，主要利用RDP爆破、钓鱼邮件、捆绑软件、僵尸网络、CVE-2017-8570漏洞利用等方式进行攻击，此家族病毒采用Salsa20和RSA-2048算法对文件进行加密，并修改文件后为.GDCB、.GRAB、.KRAB或5-10位随机字母，将感染主机桌面背景替换为勒索信息图片。GandCrab5.1之前版本可尝试使用解密工具解密，最新GandCrab5.2无法解密。老勒索家族了，所以我在公开的威胁情报上找了一个最新被上传的样本做简要分析。
 
加壳情况
文件未加壳
 
互斥体
互斥体名称：Global\pc_group=WORKGROUP&ransom id=79e2d4c8a42336Gb

 
 
关进程
遍历并关闭所列举的进程，防止文件在加密过程中被占用
 
 
获取系统信息

通过注册表检查了当前用户组，所在地区，操作系统，系统版本号，CPU信息，以及磁盘类型和磁盘容量
 
 
 
 
 
恶意外联

通过GET和POST请求外联恶意域名
 
 
发起一个HTTP请求操作，首先通过HttpAddRequestHeadersW函数添加HTTP请求头参数，然后通过HttpSendReqst函数发送HTTP请求，并且获取HTTP响应。如果HttpSendRequestW函数返回真，则继续从网络资源获取响应数据，函数InternetReadFile通过指定HTTP连接句柄v15来获取http数据，读取到的数据存放在v16所指的缓存区，读取的字节数为a7 - 1，同时返回完整的服务器名称到lpszServerName中。其中，函数返回的结果被用于判断HTTP请求是否成功，如果成功，就继续从网络资源获取数据，如果失败，则通过函数GetLastError获取错误信息。
 
 
 
当前域名已无法访问
 
设置注册表信息
 
加密部分
使用CryptGenKey生成RSA的公私钥对，之后用CryptExportKey导出
 
 
 
使用FindFirstFileW和FindNextFileW接口遍历文件目录下的所有文件进行加密，并释放出勒索信
 
 
 
 
加密过程中注入到系统advapi32.dll
 
删除卷影

删除卷影拷贝，防止用户恢复原文件