還原最新勒索病毒GandCrabV5.0.3的完整攻擊場景
近日,深信服安全團隊在國內跟蹤到了多起勒索事件,第一時間獲取到了相應的病毒樣本,確認此樣本為GandCrab勒索家族的最新變種GandCrab5.0.3,同樣採用RSA+AES加密演算法,將系統中的大部分文件檔案加密為隨機字尾名的檔案,然後對使用者進行勒索。
GandCrab勒索病毒從2018年1月被首次發現之後,僅僅半年的時候,就連續出現了V1.0,V2.0,V2.1,V3.0,V4.0,V5.0等變種,非常活躍,目前此勒索病毒無法解密。
該勒索病毒主要通過RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播,其自身不具備感染傳播能力,不會主動對區域網的其他裝置發起攻擊,會加密區域網共享目錄資料夾下的檔案。
此次勒索事件,深信服安全專家捕獲到了完整的攻擊鏈和一整套的入侵工具,並制定了相應的防護措施。
攻擊流程
黑客攻擊流程如下:
1、RDP爆破入侵
黑客首先RDP爆破其中一臺主機,成功獲取到該主機的控制權後,上傳黑客一整套工具,包括:程序管理工具、內網掃描工具、密碼抓取工具、暴力破解工具以及勒索病毒體。由於其中某些工具容易被殺軟查殺,因此黑客對其進行了加密壓縮處理,壓縮密碼為“123”。
2、結束殺軟程序
上傳完工具後,黑客就開始“幹活”了。首先是要解決掉防毒軟體,用程序管理工具“ProcessHacker”結束殺軟程序。
3、內網掃描
然後,黑客試圖“擴大戰果”,控制更多的內網主機。使用內網掃描工具“KPortScan”、“nasp”、“NetworkShare”來發現更多潛在目標。
4、抓取密碼
同時,使用“mimitatz”抓取本機密碼,“WebBrowserPassView”抓取瀏覽器密碼。由於內網中普遍存在密碼相同的情況,因此抓到的密碼很有可能能夠直接登陸其他主機。
5、暴力破解
接下來就是使用“DUBrute”對內網主機進行RDP爆破。
6、執行勒索病毒
HW包含了勒索病毒體HW.5.0.2.exe以及一個文字檔案HW.txt,HW.txt記錄了用於無檔案勒索的powershell命令。黑客可直接執行勒索病毒體或者執行powershell命令進行勒索。
該勒索病毒,功能流程圖如下:
殺程序:
遍歷程序,然後結束相關的程序,相關的程序列表如下:
區域豁免:
通過查詢作業系統安裝的輸入法和作業系統語言版本,確定是否豁免主機。
豁免區域國家列表如下:
·419(LANG_RUSSIAN俄語) 422(LANG_UKRAINIAN烏克蘭)
· 423(LANG_BELARUSIAN白俄羅斯) 428(LANG_TAJIK塔吉克)
· 42B(LANG_ARMENIAN亞美尼亞) 42C(亞塞拜然,拉丁美洲(AZ))
· 437(LANG_GEORGIAN喬治亞人) 43F(LANG_KAZAK哈薩克族)
· 440(LANG_KYRGYZ吉爾吉斯) 442(LANG_TURKMEN土庫曼)
· 443(烏茲別克,拉丁語(UZ)) 444(LANG_TATAR俄羅斯(RU))
· 818(未知) 819(未知)
· 82C(LANG_AZERI亞塞拜然,西里爾(亞利桑那州)) 843(LANG_UZBEK烏茲別克)
加密檔案:
遍歷主機檔案目錄,生成隨機字尾名的加密檔案,如下所示:
刪除卷影:
加密完成之後,通過ShellExecuteW函式呼叫wmic.exe程式,刪除磁碟卷影
最後,生成勒索資訊檔案並修改桌面背景,如下所示:
解決方案
針對已經出現勒索現象的使用者,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。
深信服提醒廣大使用者儘快做好病毒檢測與防禦措施,防範此次勒索攻擊。
病毒防禦
1、及時給電腦打補丁,修復漏洞。
2、對重要的資料檔案定期進行非本地備份。
3、不要點選來源不明的郵件附件,不從不明網站下載軟體。
4、儘量關閉不必要的檔案共享許可權。
5、更改賬戶密碼,設定強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
6、GandCrab勒索軟體會利用RDP(遠端桌面協議),如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火牆,或者終端檢測響應平臺(EDR)的微隔離功能對3389等埠進行封堵,防止擴散!