信息來源:4hou
概述
騰訊御見威脅情報(bào)中心檢測到,不法分子正在使用GandCrab5.2勒索病毒對我國政府部分政府部門工作人員進(jìn)行魚叉郵件攻擊����。攻擊郵件主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到!”����,攻擊郵件主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到!”�����,包含“Min�,Gap Ryong”及其他假冒的發(fā)件人約70余個,郵件附件名為“03-11-19.rar"����。
GandCrab勒索病毒是國內(nèi)目前最活躍的勒索病毒之一,該病毒在過去一年時間經(jīng)過5次大版本更新�,騰訊威脅情報(bào)中心曾多次發(fā)布預(yù)警,該病毒作者也一直和安全廠商�����、執(zhí)法部門斗智斗勇�����。該病毒在國內(nèi)擅長使用弱口令爆破��,掛馬�����,垃圾郵件傳播���,該病毒由于使用了RSA+Salsa20的加密方式���。無法拿到病毒作者手中私鑰常規(guī)情況下無法解密。
攻擊郵件內(nèi)容
GandCrab在國內(nèi)近期投遞惡意郵件較多���,主要有以下幾種形式
例如本次攻擊我國政府本門的附件內(nèi)直接包含了exe文件
附件內(nèi)為韓語版本文件名���,exe使用空格做偽裝的超長文件名
附件使用偽裝的pdf文件
借助doc宏文檔執(zhí)行DownLoader傳播
騰訊電腦管家和騰訊御點(diǎn)終端安全管理系統(tǒng)均可攔截
分析
附件中的EXE實(shí)際為外殼程序��,通過在內(nèi)存解密出真正的勒索程序加載payload
查看Dump后模塊入口為GandCrab標(biāo)準(zhǔn)花指令混淆���,目的為干擾靜態(tài)分析
目前發(fā)現(xiàn)眾多GandCrab 5.2系列版本病毒會使用一個固定名為BitHuender的互斥量,Bitdefender曾多次聯(lián)合警方對GandCrab勒索病毒進(jìn)行物理打擊�,對過去多個歷史版本的病毒進(jìn)行了解密,病毒作者互斥體起名與Bitdefender神似�,猜測故意為之。
測試開啟該互斥體情況下��,GandCrab 5.2病毒版本運(yùn)行后會直接自刪除��,從而跳過惡意加密行為����,利用此方法可簡單有效避開部分病毒版本。
GandCrab 5.2版本運(yùn)行后會首先結(jié)束大量文件占用類進(jìn)程����,防止加密過程中產(chǎn)生異常
并獲取當(dāng)前操作系統(tǒng)語言做白名單過濾
419(俄羅斯)422(烏克蘭) 423(比利時) 428(塔吉克) 42c(阿塞拜疆) 437(格魯吉亞) 43f(吉爾吉斯坦) 440(吉爾吉斯斯坦) 442(土庫曼) 443(烏茲別克斯坦) 444(韃靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(烏茲別克) 45A(敘利亞) 2801(未知)
GandCrab 5.2同樣會收集用戶機(jī)器信息
在內(nèi)存中解密出RSA公鑰
內(nèi)存中解密出白文件不加密擴(kuò)展后綴
解密出大量加密擴(kuò)展后綴
通過在內(nèi)存中解密出白名單不加密目錄,主要有以下目錄
ProgramData
IETldCache
Boot
Tor Browser
All Users
Local Settings
Windows
最終使用salsa20加密原始文件內(nèi)容
文件加密完成后添加隨機(jī)擴(kuò)展后綴
IOCs
MD5:
fde0e8de7119080ec1705eba74037514
d5ad7b954eace2f26a37c5b9faaf0e53
安全建議
企業(yè)用戶:
1��、盡量關(guān)閉不必要的端口,如:445�、135,139等����,對3389��,5900等端口可進(jìn)行白名單配置����,只允許白名單內(nèi)的IP連接登陸。
2�����、盡量關(guān)閉不必要的文件共享�,如有需要,請使用ACL和強(qiáng)密碼保護(hù)來限制訪問權(quán)限��,禁用對共享文件夾的匿名訪問����。
3、采用高強(qiáng)度的密碼����,避免使用弱口令密碼���,并定期更換密碼。建議服務(wù)器密碼使用高強(qiáng)度且無規(guī)律密碼���,并且強(qiáng)制要求每個服務(wù)器使用不同密碼管理���。
4、對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制���,避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器���。
5、對重要文件和數(shù)據(jù)(數(shù)據(jù)庫等數(shù)據(jù))進(jìn)行定期非本地備份���。
6���、教育終端用戶謹(jǐn)慎下載陌生郵件附件,若非必要����,應(yīng)禁止啟用Office宏代碼�����。
7�����、在終端/服務(wù)器部署專業(yè)安全防護(hù)軟件�����,Web服務(wù)器可考慮部署在騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)。
8�����、建議全網(wǎng)安裝御點(diǎn)終端安全管理系統(tǒng)�。御點(diǎn)終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控�,以及策略管控等全方位的安全管理功能,可幫助企業(yè)管理者全面了解����、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全���。
個人用戶:
1����、啟用騰訊電腦管家,勿隨意打開陌生郵件�����,關(guān)閉Office執(zhí)行宏代碼�����。
2�����、打開電腦管家的文檔守護(hù)者功能���,利用磁盤冗余空間自動備份數(shù)據(jù)文檔����,即使發(fā)生意外�,數(shù)據(jù)也可有備無患。
