0x1 概述
GandCrab勒索病毒是今年年初在世界范围内传播的一种新型勒索病毒,该病毒和其他勒索病毒索取比特币不同,作者索要的是达世币。GandCrab勒索病毒作者还通过暗网征集合作者,表示可以将勒索所得三七分成。
在安全专家和警方通过努力,成功黑入GandCrab勒索病毒的后台服务器,从而查获加密受害者文件的密钥,安全专家因此能够向受害者提供GandCrab勒索病毒解密工具。
GandCrab勒索病毒作者为继续牟利,很快将GandCrab勒索病毒升级到2.0版,并表示有更强大的后台系统,继续高调跟安全研究人员展开较量。
根据腾讯御见威胁情报中心最新监测结果,发现GandCrab勒索病毒V2.0版已传入我国,并已有用户受害。
0x2 威胁等级(中危)
危害评估:★★★☆☆
被GandCrab 2勒索病毒加密破坏的文档暂无法恢复,一旦中招,会损失惨重。
影响评估:★★☆☆☆
该病毒通过暗网渠道推广,并用高额分成来吸引众多黑产从业者协助推广,短期内中毒网民可能还会增加。
技术评估:★★☆☆☆
该病毒的技术手法一般。
0x3 影响面
GandCrab 2勒索病毒变种多,更新快,对安全软件的对抗较为频繁,在3月中旬达到了传播的最高峰。在3月下旬,发现GandCrab 2传播量级有所下降,其使用的部分C2也已经关闭,但依然保留GandCrab系勒索病毒再次爆发的可能性。
0x4 样本分析
GandCrab 2与第一代技术上并无太大区别(相关分析报告点击:http://www.freebuf.com/column/162254.html),GandCrab 2加密文件后,将文件后缀改为“.CRAB”,不同于第一代的后缀“.GDCB”。
会在桌面、加密文件的当前目录下释放文档”CRAB-DECRYPT.txt”,提示相关勒索信息。
根据提示信息,GandCrab 2与第一代同样勒索隐蔽性更强的数字货币——达世币。但第一代会勒索价值1200美元的达世币,GandCrab2则勒索价值500美元的达世币,之后也有发现勒索价值400美元的达世币,相对第一代便宜了一半之多。
0x5 传播渠道
GandCrab2在传播渠道上有水坑攻击、钓鱼邮件和挂马,其中以水坑攻击为主。先入侵网站后台将网页内容篡改为乱码,并且提示需要更新字体,引导用户下载字体更新程序,但是实际上下载的是GandCrab2勒索病毒。
注:水坑攻击为一种流行的黑客攻击方式,攻击者在受害者必经之路设置“水坑(陷阱)”。一旦被攻击目标不幸掉入陷阱,就极可能中招。
0x6 感染现状
1)地域分布
对受攻击企业地域进行分析,被攻击的企业主要分布于广东省、上海、北京和浙江。
2)行业分布
通过对受攻击的企业用户进行分析,遭到GandCrab2行业主要有互联网、销售和教育行业。其中互联网占比最高,达37%。进一步分析发现其中还有相当部分用户是软件开发人员。
通过对中招用户调研,发现这与中招场景有关。该类用户电脑使用较多,会更加高频地使用搜索引擎查找相关资料,这往往会被误引导到已被黑客攻击的网站页面上。例如,有位界面设计师在搜索引擎上搜索界面设计相关问题时,搜索结果中有一个为国内著名的移动界面UI设计师交流社区,点开链接后跳转到了如下页面:
该页面字体为乱码,并且提示需要安装“字体更新程序”,而一般用户在此场景下都会根据引导操作,殊不知下载运行的其实是个勒索病毒。
此外,由于网页内容已被篡改成乱码,用户会更加信任弹出的“下载字体更新程序”的引导,即使安全软件有拦截。这些因素使得该类用户成为了中招的高发群体。
0x7 解决方案
GandCrab 2更多的使用了水坑攻击的方式,通过伪装成“字体更新程序”传播,而用户访问网站遇到类似欺骗内容,容易中招。
腾讯电脑管家提醒用户注意:
1.切勿打开来历不明的文件
2.及时修复高危漏洞
3.保持安全软件打开状态,当安全软件有拦截时,信任安全软件的提示
腾讯电脑管家“文档守护者2.0”基于管家的安全防御体系,通过对系统引导、边界防御、本地防御、执行保护、改写保护,备份等多个环节的保护构建完整的防御方案,保护用户的文档不被加密勒索。
此外,腾讯电脑管家御界防APT邮件网关是专门为邮箱打造的安全产品。依托哈勃分析系统的核心技术,结合大数据与深度学习,御界防APT邮件网关通过对邮件多维度信息的综合分析,可迅速识别钓鱼邮件、病毒木马附件、漏洞利用附件等威胁,有效防范邮件安全风险,保护企业免受数据和财产损失。
0x8 IOCs
C&C
politiaromana.bit
malwarehunterteam.bit
gdcb.bit
emsisoft.bit
gandcrab.bit
nomoreransom.coin
nomoreransom.bit