GandCrab勒索病毒再次变种 仍然使用Salsa20算法

2018-11-17   

威胁等级:★★★★
GandCrab勒索病毒再次更新,最新版本V5.0.5和以往的版本并没有特别大的区别,主要的变化是更换了密钥,使之前公布的密钥失效,无法解密此版本加密的文件。该病毒仍然使用Salsa20算法加密文件,使用RSA算法加密Salsa20密钥,没有攻击者的RSA私钥的情况下无法解密文件。

背景介绍

GandCrab勒索病毒持续更新,加密受害者文件索要赎金。自从作者戏剧性的公布了V5.0.3之前的密钥之后,又连续更新了两个版本,此版本是目前已知的最新版本V5.0.5,此版本和以往的版本并没有特别大的区别,主要的变化是更换了密钥,使之前公布的密钥失效,无法解密此版本加密的文件。相信病毒作者短期内不会再发善心,公布新版的密钥。因此此病毒仍然非常危险。病毒仍然使用Salsa20算法加密文件,使用RSA算法加密Salsa20密钥,没有攻击者的RSA私钥的情况下无法解密文件。

病毒MD5: C805528F6844D7CAF5793C025B56F67D

威胁等级:4星 ★★★★

病毒攻击视频

查杀病毒视频

拦截病毒视频

技术分析

病毒运行之后检测制定进程是否存在,如果存在则结束进程,防止文件被占用,无法加密。

图:检测的进程列表
图:遍历进程

创建互斥体 Global\\XlAKFoxSKGOfSGOoSFOOFNOLPE 防止多个实例互相干扰

图:创建互斥体

获取系统语言信息,判断是否在排除加密的列表 主要是使用俄语的国家

图:判断系统语言

获取本机信息

图:获取本机信息

解密硬编码的RSA公钥

图:解密RSA公钥

解密出的公钥如下

图:解密出的公钥

遍历文件加密

图:遍历文件加密

删除系统备份

图:删除系统备份

修改桌面背景为勒索信息

图:修改后的桌面背景

勒索信如下

图:勒索信

加密完成后,删除自身

图:删除自身

防范措施

  1. 不使用弱口令密码,防止被暴力破解
  2. 及时修复系统漏洞,防止病毒通过漏洞植入
  3. 不打开可疑邮件,不打开运行可疑附件
  4. 安装杀毒软件,保持防御开启
  5. 安装勒索病毒防御软件

[责任编辑:瑞瑞]