一、事件背景
最近國外安全研究人員發現了GandCrab勒索病毒的V4.0最新版變種,深信服EDR安全團隊馬上對此事進行了相關跟進,第一時間獲取到了相應的變種樣本,確認此樣本為GandCrab勒索家族的最新的變種,同樣采用RSA1024加密算法,將系統中的大部分文檔文件加密為.KRAB后綴的文件,然后對用戶進行勒索。
GandCrab勒索病毒從2018年1月被首次發現之后,僅僅半年的時候,就連續出現了V1.0,V2.0,V2.1,V3.0,V4.0等變種,非常活躍,同時在分析這款V4.0版本的樣本的時候,發現部分網絡功能似乎還不太完善,很有可能近期黑產團伙會推出它的更新版,目前此勒索病毒無法解密。
該勒索病毒主要通過郵件、漏洞、垃圾網站掛馬等方式進行傳播,其自身不具備感染傳播能力,不會主動對局域網的其他設備發起攻擊,會加密局域網共享目錄文件夾下的文件。
二、樣本分析
1.樣本經過多層封裝與代碼混淆,代碼會經過幾層解密操作,如下所示:
在內存中解密出勒索病毒Payload代碼,如下所示:
最后進行內存拷貝,屬性更改之后,跳轉到相應的勒索Payload入口點執行勒索操作,如下所示:
2.樣本跳轉到了入口點,相應的反匯編代碼,如下所示:
3.獲取Windows操作系統版本,如下所示:
4.獲取當前運行進程權限,如下所示:
5.遍歷進程,然后結束相關的進程,如下圖所示:
相關的進程列表如下:
msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlwriter.exe、oracle.exe、ocssd.exe
dbsnmp.exe、synctime.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe
sqlservr.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe
agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、mydesktopqos.exe
ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe
sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe
onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe
thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe
6.查詢操作系統安裝的輸入法,如下所示:
如果發現系統安裝的輸入法為Russian,則不進行加密操作,執行后面的自刪除操作,如下所示:
非常奇怪,在后面的分析中發現這個GandCrab勒索V4.0版本的Payload核心加密代碼與我們之前分析的Sigrun勒索家族的加密核心代碼非常多的相似之處……
7.獲取操作系統的語言版本,如下所示:
當操作系統語言為如下國家時,則不進行加密,相應的國家列表如下:
419(LANG_RUSSIAN俄語) 422(LANG_UKRAINIAN烏克蘭)
423(LANG_BELARUSIAN白俄羅斯) 428(LANG_TAJIK塔吉克)
42B(LANG_ARMENIAN亞美尼亞) 42C(阿塞拜疆,拉丁美洲(AZ))
437(LANG_GEORGIAN格魯吉亞人) 43F(LANG_KAZAK哈薩克族)
440(LANG_KYRGYZ吉爾吉斯) 442(LANG_TURKMEN土庫曼)
443(烏茲別克斯坦,拉丁語(UZ)) 444(LANG_TATAR俄羅斯(RU))
818(未知) 819(未知)
82C(LANG_AZERI阿塞拜疆,西里爾(亞利桑那州)) 843(LANG_UZBEK烏茲別克)
相應的反匯編代碼,如下所示:
 8.隨機讀取相應目錄下的隨機文件名.lock文件,如下所示:
如果讀取到隨機的lock文件,則退出程序。
9.利用程序中硬編碼的數據,生成加密RSA的公鑰public,如下所示:
相應的public公鑰信息如下:
06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00 01 00 01 00 BB EF 02 46
0B 5E 8C 72 8E A0 A0 31 AE 95 33 82 D6 67 89 32 B2 ED 92 A8 16 0A BC 28
C1 4D 3E 00 A3 DC 48 47 3D E9 9A C1 31 AE 41 C5 E8 22 70 6A 7F 75 98 8F
C6 EB EE 65 9B 1B 96 D3 4D AA 3F 75 0B A5 75 E7 71 CD 88 A0 77 E0 CB 2F
33 A2 0D AB E4 E3 40 82 3F D9 95 50 A4 92 56 AA 77 61 05 75 F2 25 81 DA
A1 BE 30 A7 CB DA 2B A39E 85 AB 03 8D BB D3 F0 BB 9C 71 9A D4 98 CF C6
C2 A8 62 84 32 85 4C 1B 2C FF E4 D8 D9 E5 2A BB 18 06 08 6A F4 D8 D1 8D
00 E3 41 FC E7 C5 20 25 D2 DD 47 FF 27 09 1F 6D 34 6C 8A 0A EB AB 13 48
09 F6 24 24 98 84 22 DD C1 A1 1C 60 63 06 71 EE 00 4A 21 BA 1F AF 4C 03
D2 C7 3F BA 64 39 35 B4 44 0B 17 5F B5 2C 8C 4E B2 E6 61 B2 23 21 4D AD
FB D4 1D 96 4B A1 FC 7F BF 98 78 BB D3 72 F1 E3 46 1F 03 4C 05 18 96 C1
47 C0 A0 6F 17 07 11 10 2B 2D D4 C8
10.獲取主機相關信息,如下所示:
獲取到的相關信息如下:
用戶名、主機名、工作組、操作系統語言、操作系統版本類型信息、安全軟件信息、CPU類型、磁盤空間等信息
pc_user=panda&pc_name=PANDA-PC&pc_group=WORKGROUP&pc_lang=zh-CN&pc_keyb=0&
os_major=Windows 7 Professional&os_bit=x86&ransom_id=4cccd561a9e9938&
hdd=C:FIXED_43850395648/15526735872,D:FIXED_41941987328/2760519680&id=15&sub_id=15&version=4.0.
11.獲取主機中安裝的安全軟件信息,如下所示:
相應的安全軟件列表如下:
AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe
avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe
cfp.exe、msmpeng.exe
12.將獲取到的主機信息,在內存進行加密,如下所示:
13.利用程序中硬編碼的數據作為Key,用于生成RSA加密的公鑰和私鑰,并導出RSA公鑰和私鑰信息,如下所示:
14.將成生的公鑰和私鑰寫入到注冊表項上,如下所示:
生成的RSA私鑰,如下所示:
15.將生成的公鑰與私鑰,導入到注冊表中之后,如下所示:
相應的注冊表項:
HKEY_CURRENT_USER\SOFTWARE\keys_data\data
16.生成勒索信息文件加密Key信息,如下所示:
17.內存拼接生成勒索文件信息,如下所示:
18.創建線程,加密局域網共享目錄文件夾下的文件,如下所示:
 19.遍歷磁盤,創建線程,加密磁盤文件,如下所示:
20.遍歷主機或網絡共享目錄的文件目錄,如果為以下文件目錄,則不進行加密,如下圖所示:
相應的文件目錄列表如下:
\\ProgramData\\
\\Boot\\
\\Program Files\\
\\Tor Browser\\
\\Local Settings\\
\\Windows\\
21.將之前生成的勒索信息相應寫入到勒索信息文本文件KRAB-DECRYPT.txt中,如下所示:
22.生成隨機的lock文件,保存感染時間,如下所示:
23.遍歷磁盤目錄下的文件,如果為以下文件,則不進行加密,如下所示:
相應的文件列表如下:
desktop.ini
autorun.inf
ntuser.dat
iconcache.db
bootsect.bak
boot.ini
ntuser.dat.log
thumbs.db
KRAB-DECRYPT.html
KRAB-DECRYPT.txt
CRAB-DECRYPT.txt
ntldr
NTDETECT.COM
Bootfont.bin
24.生成以.KRAB為后綴的加密文件,如下所示:
25.加密文件的主過程函數,如下所示:
26.加密完成之后,通過ShellExecuteW函數調用wmic.exe程序,刪除磁盤卷影操作,如下所示:
27.然后彈出勒索信息文件,如下所示:
28.通過提供的鏈接,在tor打開鏈接,如下所示:
通過分析發現,此勒索病毒整體的加密勒索過程與之前版本類似,但是感染方式發生了改變,同時這款勒索病毒沒有了相應的網絡功能,預測后面應該馬上會有相應的V4.1….等版本出現,同時在分析的過程中,發現此勒索病毒的一些功能和之前發現的Sigrun勒索病毒比較類似,這款勒索病毒會針對不同的國家進行感染傳播,如果為某些地區的國家的操作系統,則不進行感染加密。
三、解決方案
深信服EDR產品能有效檢測及防御此類勒索病毒家族樣本及其變種,如下所示:
同時深信服EDR安全團隊提醒廣大用戶:
1.不要點擊來源不明的郵件附件,不從不明網站下載軟件
2.及時給主機打補丁,修復相應的高危漏洞
3.對重要的數據文件定期進行非本地備份
4.盡量關閉不必要的文件共享權限以及關閉不必要的端口,如:445,135,139,3389等
5.RDP遠程服務器等連接盡量使用強密碼,不要使用弱密碼
6.安裝專業的終端安全防護軟件,為主機提供端點防護和病毒檢測清理功能
四、相關IOC
97A910C50171124F2CD8CFC7A4F2FA4F
62801EBC255C28E86FDA4F9382324830
| 
