GandCrab勒索病毒

gandcrab勒索病毒 GandCrab勒索病毒

上周,一种名为“GandCrab”的新型勒索病毒被发现,它通过漏洞利用工具包传播。GandCrab有一些以前没有见过的有趣的特性,比如它是第一个接受达世币(DASH)、第一个使用Namecoin域名的勒索病毒。

该病毒首先由安全研究员大卫·蒙特内格罗(David Montenegro)发现,很多研究人员已经开始跟进这一病毒,并在推特上公布他们的结果。这篇文章将深入探讨我和其他研究人员发现的问题。

不幸的是,目前还没有免费的方法解密由GandCrab加密的文件。如果有任何新的研究进展,我们将第一时间更新本篇文章。

GandCrab通过Rig工具包传播

根据研究人员nao_sec和Brad Duncan的分析,
GandCrab目前正通过一种名为Seamless的恶意广告软件进行传播。然后利用Rig工具包通过用户系统中的软件漏洞安装GandCrab。安装成功后,受害者可能不会意识到他们被感染了,直到为时已晚。

第一个使用达世币(DASH)作为赎金的勒索病毒

目前大部分勒索病毒家族都使用比特币作为赎金。最近,一些勒索病毒甚至开始使用门罗币(Monero)甚至以太坊(Ethereum)作为支付手段。

GandCrab是第一个使用达世币(DASH)作为赎金的勒索病毒。很可能是因为达世币(DASH)建立在保护隐私的基础上,使得执法人员无法通过区块链来追踪实际的持有人。

gandcrab勒索病毒 GandCrab勒索病毒

GandCrab目前勒索的赎金为1.54达世币(DASH),按照今天的价格换算成美金大概是$1,170。

使用Namecoin的.BIT域名

另外一个有趣的特性是GandCrab使用了Namecoin的.bit域名,.bit不是由ICANN(互联网名称与数字地址分配机构)认可的顶级域名,而是由去中心化域名系统NameCoin管理。

这意味着如果要解析该域名,必须使用支持它的DNS服务器。GandCrab使用a.dnspod.com这个dns服务器进行域名解析,这个域名服务器可以用来解析.bit域名。

GandCrab使用下面这些域名作为其后台控制服务器的地址。有趣的是,这个勒索病毒使用了我们的网站名(bleepingcomputer)作为域名,另外也使用了esetnod32等知名产品的名字。

bleepingcomputer.bit

nomoreransom.bit

esetnod32.bit

emsisoft.bit

gandcrab.bit

因为GandCrab使用Namecoin的域名,这使得执法人员无法追踪到域名的所有人,也无法关停这些域名。

GandCrab是如何加密系统的

当GandCrab首次启动时,会尝试连接后台控制服务器。因为这台服务器的地址是由.bit域名指向的,GandCrab首先会请求域名服务器来获取后台控制服务器的地址。

如前面所说,GandCrab使用a.dnspod.com这个dns服务器进行域名解析。用来进行域名解析的命令是“nslookup
domain_name a.dnspod.com”。如果受害者的机器无法连接C2服务器(也称C&C,Command and
Control Server缩写,指木马的控制和命令服务器),该病毒会放弃加密系统上的文件。但是病毒会在后台一直尝试连接C2服务器。

连接C2服务器成功后,据我们目前所知还无法确定受害者机器和C2服务器之间具体会传输什么样的数据,但是C2服务器很可能会将用来加密文件的公钥下发到受害者机器。

在这个过程中,受害者机器会访问http://ipv4bot.whatismyipaddress.com/获得本机的公网IP地址。

GandCrab加密受害者机器上的文件之前会检查是否有指定进程在运行,如果有的话就结束这些进程。这样做是为了避免被加密的文件被其他进程占用导致加密失败。根据安全研究人员Vitali Kremez的分析,GandCrab会结束以下进程:

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe,
sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe,
mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe,
mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe,
agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe,
mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe,
sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe,
onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe,
thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

之后,GandCrab就开始加密受害者机器上指定后缀的文件。根据安全研究人员Pepper Potts的分析,GandCrab会加密以下后缀的文件:

1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4,
.abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb,
.adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx,
.asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back,
.backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp,
.blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4,
.cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib,
.class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt,
.crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db,
.db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw,
.dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc,
.docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf,
.dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh,
.fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr,
.gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html,
.ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_,
.ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p,
.kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit,
.litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a,
.m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf,
.mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos,
.mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf,
.nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh,
.nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg,
.odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth,
.otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf,
.pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc,
.plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd,
.png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm,
.pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub,
.pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2,
.qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt,
.rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0,
.sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3,
.sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw,
.st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx,
.svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn,
.tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox,
.vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab,
.wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11,
.x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx,
.xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

加密的过程中,根据Vitali Kremez的分析,GandCrab会忽略路径中含有以下字符串的文件:

ProgramData, Program Files, Tor Browser, Ransomware, All Users,
Local Settings, desktop.ini, autorun.inf, ntuser.dat, iconcache.db,
bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt,
.sql

加密之后,GandCrab会在原文件名后面加上.GDCB后缀,比如test.jpg文件加密后会重命名为test.jpg.GDCB。

gandcrab勒索病毒 GandCrab勒索病毒

在某一时刻,GandCrab会以”C:Windowssystem32wbemwmic.exe” process call create
“cmd /c start
%Temp%[launched_file_name].exe”命令重新启动自己,系统会弹出如下的UAC(用户帐户控制)确认窗,如果用户不选择“Yes”,这个窗口会一直弹出。

gandcrab勒索病毒 GandCrab勒索病毒

当GandCrab加密完受害者机器上的文件之后,受害者机器上会出现一个名为GDCB-DECRYPT.txt的文件。GDCB-DECRYPT.txt文件内容会告知受害者当前系统上的文件已被加密,并且提供了一份网关列表让受害者可以通过Tor访问支付赎金的网址。

gandcrab勒索病毒 GandCrab勒索病毒

当受害者打开支付赎金的链接,会访问一个名叫“GandCrab Decryptor”的页面,这个页面上会由赎金的数量、付款的达世币(DASH)地址和一份解密过的文件。前面已经说过,目前还没有免费的方法解密由GandCrab加密的文件。

gandcrab勒索病毒 GandCrab勒索病毒

如何防范GandCrab

为了防范GandCrab,好的电脑使用习惯和安全软件十分重要。最重要的,确保你的重要文件和数据有备份,这样GandCrab就无法威胁到你。

你还应该在你的系统中安装安全软件,并且安装的安全软件需要具备行为检测能力来发现勒索软件,而不仅仅是签名检测或启发式检测。比如Emsisoft
Anti-Malware和Malwarebytes
Anti-Malware都具备行为检测能力,他们能阻止大部分(但不是全部)的勒索软件加密系统上的文件。

最后,请确保你践行了下面的这些安全习惯,在许多情况下他们是最好的防范措施:

备份,备份,备份!

不要打开陌生人发来的附件

确保附件真的是你认识的人发送的

使用类似VirusTotal的工具扫描收到的附件

确保第一时间安装系统补丁和更新!同时确保所有机器上的软件特别是Java, Flash和Adobe Reader是最新的。老版本的软件通常包含一些能被恶意软件和漏洞工具包利用的漏洞

确保你的系统中安装来具备行为检测能力或白名单机制的安全软件。白名单的配置非常耗时耗力,但是它往往最有效

使用复杂的密码,永远不要在多个地方使用同样的密码

未经允许不得转载:苏州盘首数据恢复公司 » GandCrab勒索病毒

赞 (5) 打赏

评论 0

评论前必须登录!

登陆 注册

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

7X24H数据恢复热线