一、事件报告

最近，国外某安全研究人员再次发现GandCrab勒索病毒V2.1最新变种，安全研究人员，发现这次GandCrab勒索病毒最新的变种采用RSA1024加密算法，将系统中的大部分文档文件加密为.GRAB后缀的文件，然后对用户进行勒索。

GandCrab勒索病毒首次发现是2018年2月份，也是首例向受害者勒索达世币的勒索病毒，此次发现的最新样本，可以让受害者使用比特币和达世币进行赎金支付。用户点击之后会加密受害者主机大部分文件，然后在相应的目录生成勒索信息文件。

二、攻击方式

传播方式

这个勒索病毒主要通过邮件、漏洞、垃圾网站挂马等方式进行传播，其不具备横向感染的能力，不会能局域网的其他设备发起相应的攻击。

样本母体分析grounded.exe

1. GandCrab母体使用了多层封装与代码混淆，代码会经过几层解密操作，如下图所示：

2. 经过几层解密完成之后，启动系统目录下的SVCHOST.EXE程序，如下图所示：

执行之后进程列表如下图所示：

3. 将解密完的Payload通过反射式DLL注入的方式，注入到SVCHOST.EXE进程中，如下图所示:

然后通过VirtualProtect、WriteProcessMemory修改Payload内存属性和数据，如下图所示：

4. Payload加载完成之后，执行Payload程序，如下图所示：

5. 最后进行自删除操作，如下图所示：

Payload恶意加密程序分析

1.创建一个主线程来，执行恶意行为，如下图所示：

2.加密线程初始化操作，如下图所示：

3.获取系统信息，创建互斥变量，如下图所示：

相关的系统信息，如下：

pc_user（用户名）、pc_name（主机名）、pc_group（用户组）、av（安全软件信息）、pc_lang（操作系统语言）、pc_keyb、os_major（操作系统版本）、os_bit（操作系统位数）、ransom_id（勒索ID）、hdd（磁盘空间）、ip（IP地址），安全软件相关的信息如下图所示：

如果发现有进程中有上述安全相关的进程，则上报到远程服务器，相关的安全进程列表如下：

AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe

avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe

cfp.exe、msmpeng.exe

4.遍历相关的进程，然后结束进程，如下图所示：

相关的进程列表如下：

msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlservr.exe、sqlwriter.exe、oracle.exe

ocssd.exe、dbsnmp.exe、synctime.exe、mydesktopqos.exe、agntsvc.exeisqlplussvc.exe

xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe、agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe

mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe

winword.exe、wordpad.exe

6.创建ID，创建勒索字符串相关信息，以及拼接相应的URL地址，如下图所示：

URL地址：www.torproject.org/download/download-easy.html.en

7.生成RSA密钥，连接CSP容器，获得指定的CSP的密钥容器句柄，如下图所示：

Microsoft Enhanced Cryptographic Provider1.0的密钥长度为1024位，生成密钥，如下图所示：

然后导出相应的公钥和私钥，如下图所示：

8.将导出的公钥和私钥，加上用户主机相关的信息，进行字符串拼接，如下图所示：

9.将拼接的字符串，通过POST的方式发送到远程恶意服务器上，如下图所示：

10.使用HTTP协议进行发送数据包，如下图所示：

远程服务器连接请求的地址：ipv4bot.whatismyipaddress.com

11.相关的HTTP请求，如下图所示：

HTTP请求的主机名：ahnlab.com

12.对导出的公钥和私钥进行编码处理，如下图所示：

RSA公钥如下：

06 02 00 00 00 A4 00 00 52 53 41 31 00 08 00 00 01 00 01 00 57 C0 F3 73 ED D7 6D C6 8C 8F 75 20 2A A1 D7 68 55 C7 62 0A 07 9D 16 D1 61 23 2F 04 EA 3E A8 78 16 DC 0E 76 F4 28 B5 3F 0C 99 C9 BB D9 FF 28 97 BF 3B 77 CF C9 C6 C9 26 B8 6C BF 6D 90 52 6D 33 EB F0 71 AF B4 D4 EC 1B C1 4B 60 87 65 5B 23 92 80 D1 B8 72 C5 11 44 03 6B 07 D4 47  A8 80 13 E2 F1 70 53 89 B5 9E 3A E4 85 7F 35 F5 04 7B D2 04 6C B6 D0 FC E5 D7 9F 8A 7B 9B F6 60 0F 6B 0C 41 11 E6 59 F7 E7 4D 94 AB C8 7D 7A 48 31 77 CA 7F E2 3D 26 97 1F 47 76 DC D6 31 36 56  BE 4F C3 0F 48 66 39 07 27 CC D7 B1 9E BF 56 4D 48 DF 2F BB 34 33 F2 ED 26 26 ED 1B E8 38 D4 4A 27 30 BD CB 00 77 5A C4 0C 97 E9 A8 8A 38 81 49 08 9E 0D F9 FE 6E AD 94 F5 1E 5F 7C AA 7F 2B 83 17 94 F3 57 31 A4 F5 4A A7 90 6B 29 F3 AF 26 BB 42 F4 7B 06 EA 52 7B B5 00 9C A0 0E 27 A6 D7 26 AD 81 28 96

通过编码之后，如下图所示：

对RSA私钥编码之后如下图所示：

最后将获得的主机相关信息与RSA生成的公钥和私钥的编码拼接在一起，发送到远程恶意服务器上，如下图所示：

发送数据到远程后台服务器，如下图所示：

服务器地址：

ransomware.bit

zonealarm.bit

远程服务器IP，如下所示：

185.183.98.202

13.获得主机磁盘信息，创建线程进行文件加密操作，如下图所示：

14. 以下文件目录下的文件不会被加密，如下图所示：

相关的文件目录列表如下：

\ProgramData\

\IETldCache\

\Boot\

\Program Files\

\Tor Browser\

\All Users\

\Local Settings\

\Windows\

15. 在相应的目录下生成勒索信息文本文件CRAB-DECRYPT.txt，如下图所示：

16. 加密进程不会加密以下文件，如下图所示：

相关的文件名列表如下：

desktop.ini、autorun.inf、ntuser.dat、iconcache.db、bootsect.bak、boot.ini、

ntuser.dat.log、thumbs.db、CRAB-DECRYPT.txt

17. 最后进行文件加密操作，如下图所示：

18. 调用wmic.exe删除卷影服务，使得文档无法恢复，如下图所示：

19.最后执行关机操作，如下图所示：

20.加密完成之后的，文件名以“.GRAB”作为后缀，如下图所示：

21.勒索信息的文件文件，打开之后如下图所示：

打开所提示的链接，可以看到GandCrab向受害用户勒索价值499美元的达世币和比特币，如下图所示：

三、预防措施

同时RadeBit瑞安全提醒用户，日常防范措施：

1.不要点击来源不明的邮件以及附件，不从不明网站下载相关的软件

2.及时给电脑打补丁，修复漏洞

3.对重要的数据文件定期进行非本地备份

4.安装专业的终端/服务器安全防护软件

5.定期用专业的反病毒软件进行安全查杀

6.尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445,135,139,3389等

四、相关IOC

MD5

EF5353B4B40EDB06AC7250AEFB6B7000

DNS/URL

ipv4bot.whatismyipaddress.com

ahnlab.com

ransomware.bit

zonealarm.bit

IP

185.183.98.202