勒索病毒GandCrab 5.2紧急预警：冒充公安机关进行鱼叉邮件攻击

腾讯御见威胁情报中心检测到，不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到！”，攻击邮件主题为“你必须在3月11日下午3点向警察局报到！”，包含“Min，Gap Ryong”及其他假冒的发件人约70余个，邮件附件名为“03-11-19.rar"。

GandCrab勒索病毒是国内目前最活跃的勒索病毒之一，该病毒在过去一年时间经过5次大版本更新，腾讯威胁情报中心曾多次发布预警，该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破，挂马，垃圾邮件传播，该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。

攻击邮件内容

GandCrab在国内近期投递恶意邮件较多，主要有以下几种形式

例如本次攻击我国政府本门的附件内直接包含了exe文件

附件内为韩语版本文件名，exe使用空格做伪装的超长文件名

附件使用伪装的pdf文件

借助doc宏文档执行DownLoader传播

腾讯电脑管家和腾讯御点终端安全管理系统均可拦截

分析

附件中的EXE实际为外壳程序，通过在内存解密出真正的勒索程序加载payload

查看Dump后模块入口为GandCrab标准花指令混淆，目的为干扰静态分析

目前发现众多GandCrab 5.2系列版本病毒会使用一个固定名为BitHuender的互斥量，Bitdefender曾多次联合警方对GandCrab勒索病毒进行物理打击，对过去多个历史版本的病毒进行了解密，病毒作者互斥体起名与Bitdefender神似，猜测故意为之。

测试开启该互斥体情况下，GandCrab 5.2病毒版本运行后会直接自删除，从而跳过恶意加密行为，利用此方法可简单有效避开部分病毒版本。

GandCrab 5.2版本运行后会首先结束大量文件占用类进程，防止加密过程中产生异常

并获取当前操作系统语言做白名单过滤
419（俄罗斯）422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克) 45A（叙利亚） 2801（未知）

GandCrab 5.2同样会收集用户机器信息

在内存中解密出RSA公钥

内存中解密出白文件不加密扩展后缀

解密出大量加密扩展后缀

通过在内存中解密出白名单不加密目录，主要有以下目录

ProgramData
IETldCache
Boot
Tor Browser
All Users
Local Settings
Windows

最终使用salsa20加密原始文件内容

文件加密完成后添加随机扩展后缀


IOCs
MD5:
fde0e8de7119080ec1705eba74037514
d5ad7b954eace2f26a37c5b9faaf0e53

安全建议

1、 在终端上安装御点终端安全产品，开启最新更新，可以及时对GandCrab勒索病毒威胁进行检测和查杀；

2、 采用创宇云图ATD检测设备，通过异常行为模型可以有效的对流量中的GandCrab勒索病毒威胁进行监测报警；同时使用云图产品和御点系统进行联动防御。

3、 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

4、 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

5、 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

6、 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

7、 对重要文件和数据（数据库等数据）进行定期非本地备份。

8、 教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。

腾讯御点由具备全球顶尖攻防及病毒研究能力的腾讯和知道创宇“7+1”联合实验室支持，安全能力屡获国际评测认证，全球七大权威机构病毒查杀能力评测大满贯，100次+最高评级。御点独有的腾讯TAV反病毒引擎，基于700亿+海量样本的全体系支撑，后台云计算平台提供病毒DNA解析大数据处理，支持TAV智能打击恶意病毒。

创宇云图通过人工智能、大数据与安全技术的结合进行高效的多维度网络异常行为检测，具备独特的威胁基因图谱检测技术，能够全面识别已知勒索病毒变种以及未知病毒威胁。创宇云图的网络异常检测、网络入侵检测、威胁变种检测、未知威胁检测、主机威胁检测、威胁情报检测和大数据关联分析功能，可追踪勒索病毒感染路径，进行预警，避免病毒感染范围扩大。

创宇云图与御点联动防御，配置灵活，反应迅速。对于需要防护的系统，可以建立完整的防护体系，对于遭遇攻击的系统，可以快速应急，查杀病毒，然后形成完整的防护体系。