安全動(dòng)態(tài)

勒索病毒GandCrab 5.2緊急預(yù)警:冒充公安機(jī)關(guān)進(jìn)行魚叉郵件攻擊

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-03-15    瀏覽次數(shù):
 

信息來(lái)源:4hou

概述

騰訊御見威脅情報(bào)中心檢測(cè)到,不法分子正在使用GandCrab5.2勒索病毒對(duì)我國(guó)政府部分政府部門工作人員進(jìn)行魚叉郵件攻擊。攻擊郵件主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到!”,攻擊郵件主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到!”,包含“Min,Gap Ryong”及其他假冒的發(fā)件人約70余個(gè),郵件附件名為“03-11-19.rar"。

GandCrab勒索病毒是國(guó)內(nèi)目前最活躍的勒索病毒之一,該病毒在過(guò)去一年時(shí)間經(jīng)過(guò)5次大版本更新,騰訊威脅情報(bào)中心曾多次發(fā)布預(yù)警,該病毒作者也一直和安全廠商、執(zhí)法部門斗智斗勇。該病毒在國(guó)內(nèi)擅長(zhǎng)使用弱口令爆破,掛馬,垃圾郵件傳播,該病毒由于使用了RSA+Salsa20的加密方式。無(wú)法拿到病毒作者手中私鑰常規(guī)情況下無(wú)法解密。

攻擊郵件內(nèi)容

GandCrab在國(guó)內(nèi)近期投遞惡意郵件較多,主要有以下幾種形式

例如本次攻擊我國(guó)政府本門的附件內(nèi)直接包含了exe文件

附件內(nèi)為韓語(yǔ)版本文件名,exe使用空格做偽裝的超長(zhǎng)文件名

勒索病毒GandCrab 5.2緊急預(yù)警:冒充公安機(jī)關(guān)進(jìn)行魚叉郵件攻擊

附件使用偽裝的pdf文件

借助doc宏文檔執(zhí)行DownLoader傳播

勒索病毒GandCrab 5.2緊急預(yù)警:冒充公安機(jī)關(guān)進(jìn)行魚叉郵件攻擊

騰訊電腦管家和騰訊御點(diǎn)終端安全管理系統(tǒng)均可攔截

分析

附件中的EXE實(shí)際為外殼程序,通過(guò)在內(nèi)存解密出真正的勒索程序加載payload

查看Dump后模塊入口為GandCrab標(biāo)準(zhǔn)花指令混淆,目的為干擾靜態(tài)分析

目前發(fā)現(xiàn)眾多GandCrab 5.2系列版本病毒會(huì)使用一個(gè)固定名為BitHuender的互斥量,Bitdefender曾多次聯(lián)合警方對(duì)GandCrab勒索病毒進(jìn)行物理打擊,對(duì)過(guò)去多個(gè)歷史版本的病毒進(jìn)行了解密,病毒作者互斥體起名與Bitdefender神似,猜測(cè)故意為之。

測(cè)試開啟該互斥體情況下,GandCrab 5.2病毒版本運(yùn)行后會(huì)直接自刪除,從而跳過(guò)惡意加密行為,利用此方法可簡(jiǎn)單有效避開部分病毒版本。

GandCrab 5.2版本運(yùn)行后會(huì)首先結(jié)束大量文件占用類進(jìn)程,防止加密過(guò)程中產(chǎn)生異常

并獲取當(dāng)前操作系統(tǒng)語(yǔ)言做白名單過(guò)濾

419(俄羅斯)422(烏克蘭) 423(比利時(shí)) 428(塔吉克) 42c(阿塞拜疆) 437(格魯吉亞) 43f(吉爾吉斯坦) 440(吉爾吉斯斯坦) 442(土庫(kù)曼) 443(烏茲別克斯坦) 444(韃靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(烏茲別克)  45A(敘利亞)  2801(未知)

GandCrab 5.2同樣會(huì)收集用戶機(jī)器信息

在內(nèi)存中解密出RSA公鑰

內(nèi)存中解密出白文件不加密擴(kuò)展后綴

解密出大量加密擴(kuò)展后綴

通過(guò)在內(nèi)存中解密出白名單不加密目錄,主要有以下目錄

ProgramData IETldCache Boot Tor Browser All Users Local Settings Windows

最終使用salsa20加密原始文件內(nèi)容

文件加密完成后添加隨機(jī)擴(kuò)展后綴

IOCs

MD5:

fde0e8de7119080ec1705eba74037514

d5ad7b954eace2f26a37c5b9faaf0e53

安全建議

企業(yè)用戶:

1、盡量關(guān)閉不必要的端口,如:445、135,139等,對(duì)3389,5900等端口可進(jìn)行白名單配置,只允許白名單內(nèi)的IP連接登陸。

2、盡量關(guān)閉不必要的文件共享,如有需要,請(qǐng)使用ACL和強(qiáng)密碼保護(hù)來(lái)限制訪問(wèn)權(quán)限,禁用對(duì)共享文件夾的匿名訪問(wèn)。

3、采用高強(qiáng)度的密碼,避免使用弱口令密碼,并定期更換密碼。建議服務(wù)器密碼使用高強(qiáng)度且無(wú)規(guī)律密碼,并且強(qiáng)制要求每個(gè)服務(wù)器使用不同密碼管理。

4、對(duì)沒(méi)有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問(wèn)設(shè)置相應(yīng)控制,避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。

5、對(duì)重要文件和數(shù)據(jù)(數(shù)據(jù)庫(kù)等數(shù)據(jù))進(jìn)行定期非本地備份。

6、教育終端用戶謹(jǐn)慎下載陌生郵件附件,若非必要,應(yīng)禁止啟用Office宏代碼。

7、在終端/服務(wù)器部署專業(yè)安全防護(hù)軟件,Web服務(wù)器可考慮部署在騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)。

8、建議全網(wǎng)安裝御點(diǎn)終端安全管理系統(tǒng)。御點(diǎn)終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控,以及策略管控等全方位的安全管理功能,可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。

個(gè)人用戶:

1、啟用騰訊電腦管家,勿隨意打開陌生郵件,關(guān)閉Office執(zhí)行宏代碼。

2、打開電腦管家的文檔守護(hù)者功能,利用磁盤冗余空間自動(dòng)備份數(shù)據(jù)文檔,即使發(fā)生意外,數(shù)據(jù)也可有備無(wú)患。

 
 

上一篇:強(qiáng)化數(shù)據(jù)風(fēng)險(xiǎn)意識(shí) 提升社會(huì)“安全感”

下一篇:2019年03月15日 聚銘安全速遞