GandCrab于2018年年初問世，主要利用RDP爆破、釣魚郵件、捆綁軟件、僵尸網絡、CVE-2017-8570漏洞利用等方式進行攻擊，此家族病毒采用Salsa20和RSA-2048算法對文件進行加密，并修改文件后為.GDCB、.GRAB、.KRAB或5-10位隨機字母，將感染主機桌面背景替換為勒索信息圖片。GandCrab5.1之前版本可嘗試使用解密工具解密，最新GandCrab5.2無法解密。老勒索家族了，所以我在公開的威脅情報上找了一個最新被上傳的樣本做簡要分析。
 
加殼情況
文件未加殼
 
互斥體
互斥體名稱：Global\pc_group=WORKGROUP&ransom id=79e2d4c8a42336Gb

 
 
關進程
遍歷并關閉所列舉的進程，防止文件在加密過程中被占用
 
 
獲取系統信息

通過注冊表檢查了當前用戶組，所在地區，操作系統，系統版本號，CPU信息，以及磁盤類型和磁盤容量
 
 
 
 
 
惡意外聯

通過GET和POST請求外聯惡意域名
 
 
發起一個HTTP請求操作，首先通過HttpAddRequestHeadersW函數添加HTTP請求頭參數，然后通過HttpSendReqst函數發送HTTP請求，并且獲取HTTP響應。如果HttpSendRequestW函數返回真，則繼續從網絡資源獲取響應數據，函數InternetReadFile通過指定HTTP連接句柄v15來獲取http數據，讀取到的數據存放在v16所指的緩存區，讀取的字節數為a7 - 1，同時返回完整的服務器名稱到lpszServerName中。其中，函數返回的結果被用于判斷HTTP請求是否成功，如果成功，就繼續從網絡資源獲取數據，如果失敗，則通過函數GetLastError獲取錯誤信息。
 
 
 
當前域名已無法訪問
 
設置注冊表信息
 
加密部分
使用CryptGenKey生成RSA的公私鑰對，之后用CryptExportKey導出
 
 
 
使用FindFirstFileW和FindNextFileW接口遍歷文件目錄下的所有文件進行加密，并釋放出勒索信
 
 
 
 
加密過程中注入到系統advapi32.dll
 
刪除卷影

刪除卷影拷貝，防止用戶恢復原文件