安全預警:GandCrab4.0勒索變種來襲
- 2018-09-02 08:57:54
-
近日,深信服安全團隊發現GandCrab4.0活躍度提升,跟蹤到多起GandCrab4.0變種勒索事件,現發布安全預警,提醒廣大用戶預防GandCrab4.0勒索。
GandCrab4.0變種采用RSA+AES加密算法,將系統中的大部分文檔文件加密為.KRAB后綴的文件,然后對用戶進行勒索。該勒索病毒主要通過RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播,其自身不具備感染傳播能力,不會主動對局域網的其他設備發起攻擊,會加密局域網共享目錄文件夾下的文件。
病毒名稱:GandCrab4.0變種
病毒性質:勒索病毒
影響范圍:大部分集中在巴西、美國、印度、印度尼西亞和巴基斯坦等國家,近期開始在國內活躍
危害等級:高危
傳播方式:郵件、漏洞、垃圾網站掛馬等方式傳播,不具備內網傳播能力
病毒分析
病毒描述
GandCrab勒索病毒是2018年上半年傳播范圍最廣、攻擊頻率最高的勒索病毒之一。該勒索家族于2018年01月被首次發現后,短短幾個月的時間,就連續出現了V1.0,V2.0,V2.1,V3.0,V4.0等變種,非常活躍,目前此勒索病毒采用RSA+AES加密算法,無法被解密。
該勒索病毒主要通過RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播,其自身不具備感染傳播能力,不會主動對局域網的其他設備發起攻擊,會加密局域網共享目錄文件夾下的文件。
樣本分析
該勒索病毒的場景流程圖如下所示:
混淆加密內存解密:
樣本經過多層封裝與代碼混淆,代碼會經過幾層解密操作,在內存中解密出勒索病毒Payload代碼,最后進行內存拷貝,屬性更改之后,跳轉到相應的勒索Payload入口點執行勒索操作。
提升權限:
進行自我提權,將病毒自身的進程權限提高,以更高權限執行任意操作。
殺進程:
該勒索軟件進行遍歷進程的操作,并結束相關的進程,相關的進程列表如下:
區域豁免:
該病毒對俄羅斯、烏茲別克斯坦、亞利桑那州等區域進行了保護,做了主機豁免的動作,通過查詢操作系統安裝的輸入法和操作系統語言版本,確定是否豁免主機。#p#分頁標題#e#
生成公鑰:
利用程序中硬編碼的數據,生成加密RSA的公鑰public:
加密文件:
遍歷主機文件目錄,生成以.KRAB為后綴的加密文件,如下圖所示:
刪除卷影:
加密完成之后,通過ShellExecuteW函數調用wmic.exe程序,刪除磁盤卷影。
最后,彈出勒索信息文件
解決方案
深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范此次勒索攻擊。
病毒檢測查殺
1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
2、深信服EDR產品及防火墻等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測。
病毒防御
1、及時給電腦打補丁,修復漏洞。
2、對重要的數據文件定期進行非本地備份。
3、不要點擊來源不明的郵件附件,不從不明網站下載軟件。
4、盡量關閉不必要的文件共享權限。
5、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
6、GandCrab勒索軟件之前的變種會利用RDP(遠程桌面協議),如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!
7、深信服防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。
最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。
- [ 返回首頁] [ 打印] [ 返回上頁] 上一篇:全球首款7nm工藝制程加持的芯片,麒麟980獲外媒 下一篇:InMobi發布《2018中國移動互聯網用戶行為洞察報告