預警：GandGrab最新變種來襲

事件報告

最近，國外某安全研究人員發現GandGrab勒索病毒V2.1最新變種，深信服EDR安全團隊第一時間拿到相關的樣本，發現這次GandGrab勒索病毒最新的變種採用RSA1024加密演算法，將系統中的大部分文檔文件加密為.GRAB後綴的文件，然後對用戶進行勒索。

GandGrab勒索病毒首次發現是2018年2月份，也是首例向受害者勒索達世幣的勒索病毒，此次發現的最新樣本，可以讓受害者使用比特幣和達世幣進行贖金支付。用戶點擊之後會加密受害者主機大部分文件，然後在相應的目錄生成勒索信息文件。

截此到發稿，VT上對此樣本的查殺情況如下

攻擊方式

傳播方式

這個勒索病毒主要通過郵件、漏洞、垃圾網站掛馬等方式進行傳播，其不具備橫向感染的能力，不會能區域網的其他設備發起相應的攻擊。

樣本母體分析grounded.exe

1. GandGrab母體使用了多層封裝與代碼混淆，代碼會經過幾層解密操作，如下圖所示：

2. 經過幾層解密完成之後，啟動系統目錄下的SVCHOST.EXE程序，如下圖所示：

執行之後進程列表如下圖所示：

3. 將解密完的Payload通過反射式DLL注入的方式，注入到SVCHOST.EXE進程中，如下圖所示:

然後通過VirtualProtect、WriteProcessMemory修改Payload內存屬性和數據，如下圖所示：

4. Payload載入完成之後，執行Payload程序，如下圖所示：

5. 最後進行自刪除操作，如下圖所示：

Payload惡意加密程序分析

1.創建一個主線程來，執行惡意行為，如下圖所示：

2.加密線程初始化操作，如下圖所示：

3.獲取系統信息，創建互斥變數，如下圖所示：

相關的系統信息，如下：

pc_user（用戶名）、pc_name（主機名）、pc_group（用戶組）、av（安全軟體信息）、pc_lang（操作系統語言）、pc_keyb、os_major（操作系統版本）、os_bit（操作系統位數）、ransom_id（勒索ID）、hdd（磁碟空間）、ip（IP地址），安全軟體相關的信息如下圖所示：

如果發現有進程中有上述安全相關的進程，則上報到遠程伺服器，相關的安全進程列表如下：

AVP.EXE、ekrn.exe、avgnt.exe、ashDisp.exe、NortonAntiBot.exe、Mcshield.exe

avengine.exe、cmdagent.exe、smc.exe、persfw.exe、pccpfw.exe、fsguiexe.exe

cfp.exe、msmpeng.exe

4.遍歷相關的進程，然後結束進程，如下圖所示：

相關的進程列表如下：

msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlservr.exe、sqlwriter.exe、oracle.exe

mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe

winword.exe、wordpad.exe

6.創建ID，創建勒索字元串相關信息，以及拼接相應的URL地址，如下圖所示：

URL地址：www.torproject.org/download/download-easy.html.en

7.生成RSA密鑰，連接CSP容器，獲得指定的CSP的密鑰容器句柄，如下圖所示：

Microsoft Enhanced Cryptographic Provider1.0的密鑰長度為1024位，生成密鑰，如下圖所示：

然後導出相應的公鑰和私鑰，如下圖所示：

8.將導出的公鑰和私鑰，加上用戶主機相關的信息，進行字元串拼接，如下圖所示：

9.將拼接的字元串，通過POST的方式發送到遠程惡意伺服器上，如下圖所示：

10.使用HTTP協議進行發送數據包，如下圖所示：

遠程伺服器連接請求的地址：ipv4bot.whatismyipaddress.com

11.相關的HTTP請求，如下圖所示：

HTTP請求的主機名：ahnlab.com

12.對導出的公鑰和私鑰進行編碼處理，如下圖所示：

RSA公鑰如下：

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

通過編碼之後，如下圖所示：

對RSA私鑰編碼之後如下圖所示：

最後將獲得的主機相關信息與RSA生成的公鑰和私鑰的編碼拼接在一起，發送到遠程惡意伺服器上，如下圖所示：

發送數據到遠程後台伺服器，如下圖所示：

伺服器地址：

ransomware.bit

zonealarm.bit

遠程伺服器IP，如下所示：

185.183.98.202

13.獲得主機磁碟信息，創建線程進行文件加密操作，如下圖所示：

14. 以下文件目錄下的文件不會被加密，如下圖所示：

相關的文件目錄列表如下：

ProgramData

IETldCache

Boot

Program Files

Tor Browser

All Users

Local Settings

Windows

15. 在相應的目錄下生成勒索信息文本文件CRAB-DECRYPT.txt，如下圖所示：

16. 加密進程不會加密以下文件，如下圖所示：

相關的文件名列表如下：

desktop.ini、autorun.inf、ntuser.dat、iconcache.db、bootsect.bak、boot.ini、

17. 最後進行文件加密操作，如下圖所示：

18. 調用wmic.exe刪除卷影服務，使得文檔無法恢復，如下圖所示：

19.最後執行關機操作，如下圖所示：

20.加密完成之後的，文件名以「.GRAB」作為後綴，如下圖所示：

21.勒索信息的文件，打開之後如下圖所示：

打開所提示的鏈接，可以看到GandGrab向受害用戶勒索價值499美元的達世幣和比特幣，如下圖所示：

預防措施

深信服EDR已經能有效檢測和防禦最新的勒索病毒家族和各種已知勒索病毒家族最新的變種樣本，如圖所示：

同時深信服提醒用戶，日常防範措施：

1.不要點擊來源不明的郵件以及附件，不從不明網站下載相關的軟體

2.及時給電腦打補丁，修復漏洞

3.對重要的數據文件定期進行非本地備份

4.安裝專業的終端/伺服器安全防護軟體

5.定期用專業的反病毒軟體進行安全查殺

6.盡量關閉不必要的文件共享許可權以及關閉不必要的埠，如：445,135,139,3389等

相關IOC

MD5

EF5353B4B40EDB06AC7250AEFB6B7000

DNS/URL

ipv4bot.whatismyipaddress.com

ahnlab.com

ransomware.bit

zonealarm.bit

IP

185.183.98.202

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！