GandCrab 5.3版本出现 缴纳赎金方式改成邮箱
2019-04-24
威胁等级:★★★★
GandCrab勒索病毒出现最新5.3版本,此版本和5.2没有太大区别,加密算法仍然是使用RSA+Salsa20,内置的RSA公钥也相同,主要区别是攻击者将暗网缴纳赎金修改为通过邮箱联系缴纳赎金。
背景介绍
近日捕获到GandCrab 5.3变种,此版本和5.2没有太大区别,加密算法仍然是使用RSA+Salsa20,内置的RSA公钥也相同,主要区别是攻击者将暗网缴纳赎金修改为通过邮箱联系缴纳赎金。攻击者做这种修改有两种可能,一种是部分受害者不知道如何访问病毒作者留下的暗网网址,无法与病毒作者取得联系,导致无法缴纳赎金。另一种情况是,GandCrab 5.2之前版本的解密密钥托管在暗网服务器中,被欧洲多国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是为了更难被追查。
病毒MD5:6B054C8D851CB5A91AFB6A3D5BC57886
威胁等级:★★★★
图:勒索信
病毒演示视频
技术分析
病毒运行后获取当前计算机语言,与病毒内置语言列表中的语言进行比较,如果本机语言在列表中则退出,不执行加密操作
图:判断计算机语言
病毒会结束指定进程,防止文件被占用无法加密,主要是数据库和办公软件的进程
图:查找指定进程
解密出RSA公钥,此公钥和之前捕获的V5.2版本的公钥相同
图:解密出RSA公钥
获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息,追加上勒索版本V5.3
图:获取的本机信息
使用RC4算法将获取到的本机信息加密,发送给控制服务器用于统计感染量
图:本机信息加密后
在做好准备工作之后,病毒会创建线程开始加密文件
图:创建线程加密
遍历磁盘中的文件
图:遍历文件
加密时排除一些文件和文件夹,防止系统无法正常运行
图:排除指定文件
文件的内容被Salsa20算法加密,文件名被追加上随机后缀
图:被加密文件
删除系统自带的卷影备份
图:删除卷影备份
修改桌面背景图片,显示勒索信息
图:修改桌面背景
修改后的界面如下
图:修改后的桌面背景
加密完成后退出,并调用cmd删除自身文件
图:删除自身文件
防范措施
- 不打开可以邮件邮件
- 浏览网页时不下载运行可疑程序
- 及时更新系统补丁
- 不使用弱口令密码
- 安装杀毒软件
- 安装勒索病毒防御软件
编辑:瑞瑞 阅读: