超強勒索病毒GandCrab再現新版5.3 躲避警方出新招
近日,瑞星安全專家捕獲到最新勒索病毒GandCrab 5.3變種,此版本延續了5.2版本的主要技術,用戶一旦中毒文件將無法打開,同時桌面背景圖片會被修改為勒索信息,需要交納贖金才可解密。
近日,瑞星安全專家捕獲到最新勒索病毒GandCrab 5.3變種,此版本延續了5.2版本的主要技術,用戶一旦中毒文件將無法打開,同時桌面背景圖片會被修改為勒索信息,需要交納贖金才可解密。而此次5.3版本與之前最大的不同之處在於,攻擊者將暗網繳納贖金方式改為通過郵件聯系繳納贖金,這極有可能是為了躲避警方的追查。
圖:勒索信息支付贖金方式改為郵件
瑞星安全專家分析攻擊者此次修改的原因有兩種可能,第一種是部分受害者不知道如何訪問病毒作者留下的暗網地址,所以無法與病毒作者取得聯系,導致無法繳納贖金;另一種情況是GandCrab 5.2之前版本的解密密鑰托管在暗網服務器中,被歐洲多國警方合作追蹤到了控制服務器,從而獲取到了托管在服務器中的解密密鑰,因此攻擊者要求通過郵箱聯系,可能是躲避追查。
瑞星公司提醒廣大用戶切勿點擊陌生郵件,安裝有效殺毒軟件,以防被勒索病毒攻擊。目前,瑞星所有個人及企業級產品均可對GandCrab 5.3勒索病毒進行查殺,瑞星之劍(下載地址:http://www.rising.com.cn/j/)可以有效攔截該勒索病毒。
圖:瑞星ESM與瑞星之劍攔截查殺截圖
病毒演示視頻
技術分析
勒索病毒GandCrab 5.3運行後獲取當前計算機語言,與病毒內置語言列表中的語言進行對比,如果本機語言在列表中則退出,不執行加密操作。
圖:判斷計算機語言
病毒會結束指定進程,防止文件被占用無法加密,主要是針對數據庫和辦公軟件的進程。
圖:查找指定進程
解密出RSA公鑰,此公鑰和之前捕獲的V5.2版本的公鑰相同。
圖:解密出RSA公鑰
獲取本機用戶名、操作系統版本、計算機語言、磁盤剩余空間等信息,追加上勒索版本V5.3。
圖:獲取的本機信息
使用RC4算法將獲取到的本機信息加密,發送給控制服務器用於統計感染量。
圖:加密後的本機信息
在做好準備工作之後,病毒會創建線程開始加密文件。
圖:創建線程加密
遍歷磁盤中的文件。
圖:遍歷文件
加密時排除一些文件和文件夾,防止系統無法正常運行。
圖:排除指定文件
文件的內容被Salsa20算法加密,文件名被追加上隨機後綴。
圖:被加密文件
刪除系統自帶的卷影備份。
圖:刪除卷影備份
修改桌面背景圖片,顯示勒索信息。
圖:修改桌面背景
圖:修改後的桌面背景
加密完成後退出,並調用cmd刪除自身文件。
圖:刪除自身文件
防範措施:
- 不打開陌生或可疑郵件,不下載郵件附件。
- 瀏覽網頁時不下載運行可疑程序。
- 及時更新系統、漏洞補丁。
- 不使用弱口令密碼。
- 多臺機器不使用相同密碼。
- 安裝殺毒軟件及時更新病毒庫。
- 安裝防勒索軟件,防止未知病毒變種加密文件。
超強勒索病毒GandCrab再現新版5.3 躲避警方出新招