虽然处于初级阶段但仍不可小觑GusCrypter勒索病毒

2018-12-20   

威胁等级:★★★
GusCrypter勒索病毒出现最新变种,病毒运行后首先读取原文件数据,然后创建新文件 (文件名为原文件名+GUSv2),将加密内容写入,最后删除原始文件。由于没有在原始 文件上修改,因此使用磁盘误删恢复工具,可恢复部分文件。

背景介绍

GusCrypter勒索病毒新变种,运行之后加密受害者文件,添加后缀名为.GUSv2。留下邮箱威胁受害者支付赎金才可以解密。威胁受害者,不要试图解密文件,否则将无法恢复。病毒运行后首先读取原文件数据,然后创建新文件(文件名为 原文件名+GUSv2),将加密内容写入,最后删除原始文件。由于没有在原始文件上修改,因此使用磁盘误删恢复工具,可恢复部分文件。另外加密速度较慢,加密时计算机也会比较卡顿,从以上几点可以看出,相对于知名度较高的勒索病毒,此病毒还处于初级阶段,但是危害仍不容小视。

病毒MD5:5B58CCBB150683D0608C236F242ABC90

威胁等级:★★★

病毒攻击视频

查杀病毒视频

拦截病毒视频

技术分析

病毒运行后将硬编码字符串,每个字节减5,解密出勒索邮箱地址

图:解密字符串的算法

硬编码的字符串解密后,解密出的勒索邮箱

图:解密出的勒索邮箱

创建互斥体,防止多个实例运行

图:创建互斥体

将勒索页面注册为开机自启动,每次开机都弹出勒索信息

图:将勒索提示页面,设置为开机自启动

遍历文件,准备加密

图:遍历文件

病毒会排除指定目录,防止系统无法运行

图:病毒排除的目录

对于将要加密的目录,病毒会遍历此目录下,指定后缀的文件

图:遍历指定后缀的文件

病毒会加密以下后缀的文件

.gdb .ldf .mdf .mdb .pdf .fdb .mde .txt .png .jpg .jpeg .bmp .gif .zip 
.rar .1cd .sql .bak .back .cab .log .ico .old .rtf .lnk .doc .docx 
.xls .xlsx .tif .vsc .mkv .flac .der .sch .crt .pem .pbix .hbk .epx 
.dpl .bpl .htm .csv .mp4 .mp3 .myi .myd .xml .r11 .vsl .newdb .srf 
.pst .ods .erf .html .php .asp .aspx .ppt .pptx .java .cpp .css .jar 
.swift .shtml .less .sass .dat .json .key .avi .3gp .wmv .accdb .rmvb 
.mpg .mov .vob .flv .swf .wma .aac .mmf .amr .m4a .m4r .ogg .mp2 .wav 
.tif .pcx .tga .tiff .odt .dll .exe .lrf .glf .msi .vhdx .vhd .bin .vsv 
.exe .tib .vue .mrimg

表:病毒加密的文件后缀类型

读文件

图:读文件

写文件 每隔3个字节加密一个字节

图:写文件

病毒将加密后的内容写入到新文件后,会删除原文件

图:删除原文件

释放勒索页面

图: 释放勒索页面
图:勒索页面的内容

延时自删除

图:自删除

加密完成后,最后弹出勒索提示页面

图:弹出勒索提示页面

被加密的文件,都被追加上GUSv2后缀

图:被加密后追加后缀

防范措施

  1. 不打开来源不明的文件
  2. 不打开可疑邮件附件
  3. 不使用弱口令账号密码,防止攻击者通过弱口令植入病毒
  4. 安装杀毒软件保持防护开启,拦截查杀病毒
  5. 安装勒索防御软件,防止文件被加密

[责任编辑:瑞瑞]