一、事件背景
最近國外安全研究人員發(fā)現(xiàn)了GandCrab勒索病毒的V4.0最新版變種,深信服EDR安全團隊馬上對此事進行了相關(guān)跟進,第一時間獲取到了相應的變種樣本,確認此樣本為GandCrab勒索家族的最新的變種,同樣采用RSA1024加密算法,將系統(tǒng)中的大部分文檔文件加密為.KRAB后綴的文件,然后對用戶進行勒索。
GandCrab勒索病毒從2018年1月被首次發(fā)現(xiàn)之后,僅僅半年的時候,就連續(xù)出現(xiàn)了V1.0,V2.0,V2.1,V3.0,V4.0等變種,非常活躍,同時在分析這款V4.0版本的樣本的時候,發(fā)現(xiàn)部分網(wǎng)絡功能似乎還不太完善,很有可能近期黑產(chǎn)團伙會推出它的更新版,目前此勒索病毒無法解密。
該勒索病毒主要通過郵件、漏洞、垃圾網(wǎng)站掛馬等方式進行傳播,其自身不具備感染傳播能力,不會主動對局域網(wǎng)的其他設備發(fā)起攻擊,會加密局域網(wǎng)共享目錄文件夾下的文件。
二、樣本分析
1.樣本經(jīng)過多層封裝與代碼混淆,代碼會經(jīng)過幾層解密操作,如下所示:
在內(nèi)存中解密出勒索病毒Payload代碼,如下所示:
最后進行內(nèi)存拷貝,屬性更改之后,跳轉(zhuǎn)到相應的勒索Payload入口點執(zhí)行勒索操作,如下所示:
2.樣本跳轉(zhuǎn)到了入口點,相應的反匯編代碼,如下所示:
3.獲取Windows操作系統(tǒng)版本,如下所示:
4.獲取當前運行進程權(quán)限,如下所示:
5.遍歷進程,然后結(jié)束相關(guān)的進程,如下圖所示:
相關(guān)的進程列表如下:
msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe
dbsnmp.exe、synctime.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe
sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe
ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe
sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe
onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe
thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe
6.查詢操作系統(tǒng)安裝的輸入法,如下所示:
如果發(fā)現(xiàn)系統(tǒng)安裝的輸入法為Russian,則不進行加密操作,執(zhí)行后面的自刪除操作,如下所示:
非常奇怪,在后面的分析中發(fā)現(xiàn)這個GandCrab勒索V4.0版本的Payload核心加密代碼與我們之前分析的Sigrun勒索家族的加密核心代碼非常多的相似之處……
7.獲取操作系統(tǒng)的語言版本,如下所示:
當操作系統(tǒng)語言為如下國家時,則不進行加密,相應的國家列表如下:
419(LANG_RUSSIAN俄語) 422(LANG_UKRAINIAN烏克蘭)
423(LANG_BELARUSIAN白俄羅斯) 428(LANG_TAJIK塔吉克)
42B(LANG_ARMENIAN亞美尼亞) 42C(阿塞拜疆,拉丁美洲(AZ))
437(LANG_GEORGIAN格魯吉亞人) 43F(LANG_KAZAK哈薩克族)
440(LANG_KYRGYZ吉爾吉斯) 442(LANG_TURKMEN土庫曼)
443(烏茲別克斯坦,拉丁語(UZ)) 444(LANG_TATAR俄羅斯(RU))
818(未知) 819(未知)
82C(LANG_AZERI阿塞拜疆,西里爾(亞利桑那州)) 843(LANG_UZBEK烏茲別克)
相應的反匯編代碼,如下所示:
 8.隨機讀取相應目錄下的隨機文件名.lock文件,如下所示:
如果讀取到隨機的lock文件,則退出程序。
9.利用程序中硬編碼的數(shù)據(jù),生成加密RSA的公鑰public,如下所示:
相應的public公鑰信息如下:
06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00 01 00 01 00 BB EF 02 46
0B 5E 8C 72 8E A0 A0 31 AE 95 33 82 D6 67 89 32 B2 ED 92 A8 16 0A BC 28
C1 4D 3E 00 A3 DC 48 47 3D E9 9A C1 31 AE 41 C5 E8 22 70 6A 7F 75 98 8F
C6 EB EE 65 9B 1B 96 D3 4D AA 3F 75 0B A5 75 E7 71 CD 88 A0 77 E0 CB 2F
33 A2 0D AB E4 E3 40 82 3F D9 95 50 A4 92 56 AA 77 61 05 75 F2 25 81 DA
A1 BE 30 A7 CB DA 2B A39E 85 AB 03 8D BB D3 F0 BB 9C 71 9A D4 98 CF C6
C2 A8 62 84 32 85 4C 1B 2C FF E4 D8 D9 E5 2A BB 18 06 08 6A F4 D8 D1 8D
00 E3 41 FC E7 C5 20 25 D2 DD 47 FF 27 09 1F 6D 34 6C 8A 0A EB AB 13 48
09 F6 24 24 98 84 22 DD C1 A1 1C 60 63 06 71 EE 00 4A 21 BA 1F AF 4C 03
D2 C7 3F BA 64 39 35 B4 44 0B 17 5F B5 2C 8C 4E B2 E6 61 B2 23 21 4D AD
FB D4 1D 96 4B A1 FC 7F BF 98 78 BB D3 72 F1 E3 46 1F 03 4C 05 18 96 C1
47 C0 A0 6F 17 07 11 10 2B 2D D4 C8
10.獲取主機相關(guān)信息,如下所示:
獲取到的相關(guān)信息如下:
用戶名、主機名、工作組、操作系統(tǒng)語言、操作系統(tǒng)版本類型信息、安全軟件信息、CPU類型、磁盤空間等信息
pc_user=panda&pc_name=PANDA-PC&pc_group=WORKGROUP&pc_lang=zh-CN&pc_keyb=0&
os_major=Windows 7 Professional&os_bit=x86&ransom_id=4cccd561a9e9938&
hdd=C:FIXED_43850395648/15526735872,D:FIXED_41941987328/2760519680&id=15&sub_id=15&version=4.0.
11.獲取主機中安裝的安全軟件信息,如下所示:
相應的安全軟件列表如下:
AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe
avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe
cfp.exe、msmpeng.exe
12.將獲取到的主機信息,在內(nèi)存進行加密,如下所示:
13.利用程序中硬編碼的數(shù)據(jù)作為Key,用于生成RSA加密的公鑰和私鑰,并導出RSA公鑰和私鑰信息,如下所示:
14.將成生的公鑰和私鑰寫入到注冊表項上,如下所示:
生成的RSA私鑰,如下所示:
15.將生成的公鑰與私鑰,導入到注冊表中之后,如下所示:
相應的注冊表項:
HKEY_CURRENT_USER\SOFTWARE\keys_data\data
16.生成勒索信息文件加密Key信息,如下所示:
17.內(nèi)存拼接生成勒索文件信息,如下所示:
18.創(chuàng)建線程,加密局域網(wǎng)共享目錄文件夾下的文件,如下所示:
 19.遍歷磁盤,創(chuàng)建線程,加密磁盤文件,如下所示:
20.遍歷主機或網(wǎng)絡共享目錄的文件目錄,如果為以下文件目錄,則不進行加密,如下圖所示:
相應的文件目錄列表如下:
\\ProgramData\\
\\Boot\\
\\Program Files\\
\\Tor Browser\\
\\Local Settings\\
\\Windows\\
21.將之前生成的勒索信息相應寫入到勒索信息文本文件KRAB-DECRYPT.txt中,如下所示:
22.生成隨機的lock文件,保存感染時間,如下所示:
23.遍歷磁盤目錄下的文件,如果為以下文件,則不進行加密,如下所示:
相應的文件列表如下:
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
KRAB-DECRYPT.html
KRAB-DECRYPT.txt
CRAB-DECRYPT.txt
ntldr
NTDETECT.COM
Bootfont.bin
24.生成以.KRAB為后綴的加密文件,如下所示:
25.加密文件的主過程函數(shù),如下所示:
26.加密完成之后,通過ShellExecuteW函數(shù)調(diào)用wmic.exe程序,刪除磁盤卷影操作,如下所示:
27.然后彈出勒索信息文件,如下所示:
28.通過提供的鏈接,在tor打開鏈接,如下所示:
通過分析發(fā)現(xiàn),此勒索病毒整體的加密勒索過程與之前版本類似,但是感染方式發(fā)生了改變,同時這款勒索病毒沒有了相應的網(wǎng)絡功能,預測后面應該馬上會有相應的V4.1….等版本出現(xiàn),同時在分析的過程中,發(fā)現(xiàn)此勒索病毒的一些功能和之前發(fā)現(xiàn)的Sigrun勒索病毒比較類似,這款勒索病毒會針對不同的國家進行感染傳播,如果為某些地區(qū)的國家的操作系統(tǒng),則不進行感染加密。
三、解決方案
深信服EDR產(chǎn)品能有效檢測及防御此類勒索病毒家族樣本及其變種,如下所示:
同時深信服EDR安全團隊提醒廣大用戶:
1.不要點擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件
2.及時給主機打補丁,修復相應的高危漏洞
3.對重要的數(shù)據(jù)文件定期進行非本地備份
4.盡量關(guān)閉不必要的文件共享權(quán)限以及關(guān)閉不必要的端口,如:445,135,139,3389等
5.RDP遠程服務器等連接盡量使用強密碼,不要使用弱密碼
6.安裝專業(yè)的終端安全防護軟件,為主機提供端點防護和病毒檢測清理功能
四、相關(guān)IOC
97A910C50171124F2CD8CFC7A4F2FA4F
62801EBC255C28E86FDA4F9382324830
| 
