新型勒索病毒GandCrab来袭

上周,一种名为“GandCrab”的新型勒索病毒被发现,它通过漏洞利用工具包传播。GandCrab有一些以前没有见过的有趣的特性,比如它是第一个接受达世币(DASH)、第一个使用Namecoin域名的勒索病毒。

该病毒首先由安全研究员大卫·蒙特内格罗(David Montenegro)发现,很多研究人员已经开始跟进这一病毒,并在推特上公布他们的结果。这篇文章将深入探讨我和其他研究人员发现的问题。

不幸的是,目前还没有免费的方法解密由GandCrab加密的文件。如果有任何新的研究进展,我们将第一时间更新本篇文章。

 

GandCrab通过Rig工具包传播

根据研究人员nao_sec和Brad Duncan的分析, GandCrab目前正通过一种名为Seamless的恶意广告软件进行传播。然后利用Rig工具包通过用户系统中的软件漏洞安装GandCrab。安装成功后,受害者可能不会意识到他们被感染了,直到为时已晚。

 

第一个使用达世币(DASH)作为赎金的勒索病毒

目前大部分勒索病毒家族都使用比特币作为赎金。最近,一些勒索病毒甚至开始使用门罗币(Monero)甚至以太坊(Ethereum)作为支付手段。

GandCrab是第一个使用达世币(DASH)作为赎金的勒索病毒。很可能是因为达世币(DASH)建立在保护隐私的基础上,使得执法人员无法通过区块链来追踪实际的持有人。
使用DASH作为赎金
GandCrab目前勒索的赎金为1.54达世币(DASH),按照今天的价格换算成美金大概是$1,170。

 

使用Namecoin的.BIT域名

另外一个有趣的特性是GandCrab使用了Namecoin的.bit域名,.bit不是由ICANN(互联网名称与数字地址分配机构)认可的顶级域名,而是由去中心化域名系统NameCoin管理。

这意味着如果要解析该域名,必须使用支持它的DNS服务器。GandCrab使用a.dnspod.com这个dns服务器进行域名解析,这个域名服务器可以用来解析.bit域名。

GandCrab使用下面这些域名作为其后台控制服务器的地址。有趣的是,这个勒索病毒使用了我们的网站名(bleepingcomputer)作为域名,另外也使用了esetnod32等知名产品的名字。

bleepingcomputer.bit
nomoreransom.bit
esetnod32.bit
emsisoft.bit
gandcrab.bit

因为GandCrab使用Namecoin的域名,这使得执法人员无法追踪到域名的所有人,也无法关停这些域名。

 

GandCrab是如何加密系统的

当GandCrab首次启动时,会尝试连接后台控制服务器。因为这台服务器的地址是由.bit域名指向的,GandCrab首先会请求域名服务器来获取后台控制服务器的地址。

如前面所说,GandCrab使用a.dnspod.com这个dns服务器进行域名解析。用来进行域名解析的命令是“nslookup domain_name a.dnspod.com”。如果受害者的机器无法连接C2服务器(也称C&C,Command and Control Server缩写,指木马的控制和命令服务器),该病毒会放弃加密系统上的文件。但是病毒会在后台一直尝试连接C2服务器。

连接C2服务器成功后,据我们目前所知还无法确定受害者机器和C2服务器之间具体会传输什么样的数据,但是C2服务器很可能会将用来加密文件的公钥下发到受害者机器。

在这个过程中,受害者机器会访问http://ipv4bot.whatismyipaddress.com/获得本机的公网IP地址。

GandCrab加密受害者机器上的文件之前会检查是否有指定进程在运行,如果有的话就结束这些进程。这样做是为了避免被加密的文件被其他进程占用导致加密失败。根据安全研究人员Vitali Kremez的分析,GandCrab会结束以下进程:

msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

之后,GandCrab就开始加密受害者机器上指定后缀的文件。根据安全研究人员Pepper Potts的分析,GandCrab会加密以下后缀的文件:

1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

加密的过程中,根据Vitali Kremez的分析,GandCrab会忽略路径中含有以下字符串的文件:

ProgramData, Program Files, Tor Browser, Ransomware, All Users, Local Settings, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt, .sql

加密之后,GandCrab会在原文件名后面加上.GDCB后缀,比如test.jpg文件加密后会重命名为test.jpg.GDCB。
被加密后的文件

在某一时刻,GandCrab会以”C:Windowssystem32wbemwmic.exe” process call create “cmd /c start %Temp%[launched_file_name].exe”命令重新启动自己,系统会弹出如下的UAC(用户帐户控制)确认窗,如果用户不选择“Yes”,这个窗口会一直弹出。
UAC确认窗口

当GandCrab加密完受害者机器上的文件之后,受害者机器上会出现一个名为GDCB-DECRYPT.txt的文件。GDCB-DECRYPT.txt文件内容会告知受害者当前系统上的文件已被加密,并且提供了一份网关列表让受害者可以通过Tor访问支付赎金的网址。

当受害者打开支付赎金的链接,会访问一个名叫“GandCrab Decryptor”的页面,这个页面上会由赎金的数量、付款的达世币(DASH)地址和一份解密过的文件。前面已经说过,目前还没有免费的方法解密由GandCrab加密的文件。

 

如何防范GandCrab

为了防范GandCrab,好的电脑使用习惯和安全软件十分重要。最重要的,确保你的重要文件和数据有备份,这样GandCrab就无法威胁到你。

你还应该在你的系统中安装安全软件,并且安装的安全软件需要具备行为检测能力来发现勒索软件,而不仅仅是签名检测或启发式检测。比如Emsisoft Anti-Malware和Malwarebytes Anti-Malware都具备行为检测能力,他们能阻止大部分(但不是全部)的勒索软件加密系统上的文件。

最后,请确保你践行了下面的这些安全习惯,在许多情况下他们是最好的防范措施:

  • 备份,备份,备份!
  • 不要打开陌生人发来的附件
  • 确保附件真的是你认识的人发送的
  • 使用类似VirusTotal的工具扫描收到的附件
  • 确保第一时间安装系统补丁和更新!同时确保所有机器上的软件特别是Java, Flash和Adobe Reader是最新的。老版本的软件通常包含一些能被恶意软件和漏洞工具包利用的漏洞
  • 确保你的系统中安装来具备行为检测能力或白名单机制的安全软件。白名单的配置非常耗时耗力,但是它往往最有效
  • 使用复杂的密码,永远不要在多个地方使用同样的密码
(完)