GandCrab勒索病毒再次变种 仍然使用Salsa20算法

2018-11-17   

威胁等级：★★★★
GandCrab勒索病毒再次更新，最新版本V5.0.5和以往的版本并没有特别大的区别，主要的变化是更换了密钥，使之前公布的密钥失效，无法解密此版本加密的文件。该病毒仍然使用Salsa20算法加密文件，使用RSA算法加密Salsa20密钥，没有攻击者的RSA私钥的情况下无法解密文件。

背景介绍

GandCrab勒索病毒持续更新，加密受害者文件索要赎金。自从作者戏剧性的公布了V5.0.3之前的密钥之后，又连续更新了两个版本，此版本是目前已知的最新版本V5.0.5，此版本和以往的版本并没有特别大的区别，主要的变化是更换了密钥，使之前公布的密钥失效，无法解密此版本加密的文件。相信病毒作者短期内不会再发善心，公布新版的密钥。因此此病毒仍然非常危险。病毒仍然使用Salsa20算法加密文件，使用RSA算法加密Salsa20密钥，没有攻击者的RSA私钥的情况下无法解密文件。

病毒MD5: C805528F6844D7CAF5793C025B56F67D

威胁等级：4星 ★★★★

病毒攻击视频

查杀病毒视频

拦截病毒视频

技术分析

病毒运行之后检测制定进程是否存在，如果存在则结束进程，防止文件被占用，无法加密。

创建互斥体 Global\\XlAKFoxSKGOfSGOoSFOOFNOLPE 防止多个实例互相干扰

获取系统语言信息，判断是否在排除加密的列表 主要是使用俄语的国家

获取本机信息

解密硬编码的RSA公钥

解密出的公钥如下

遍历文件加密

删除系统备份

修改桌面背景为勒索信息

勒索信如下

加密完成后，删除自身

防范措施

1. 不使用弱口令密码，防止被暴力破解
2. 及时修复系统漏洞，防止病毒通过漏洞植入
3. 不打开可疑邮件，不打开运行可疑附件
4. 安装杀毒软件，保持防御开启
5. 安装勒索病毒防御软件