研究人员近日发现一起新的垃圾邮件活动，垃圾邮件活动会发送收件人所在建筑物的紧急出口图给收件人，紧急出口图同时也被用户安装GandCrab勒索软件。

据Myonlinesecurity.co.uk消息，之前在传播Ursnif银行木马的服务器现在开始推送GandCrab v5.1勒索软件了。

BleepingComputer决定深入分析传播的垃圾邮件和文件，以确定活动的工作原理。

最新的垃圾邮件活动假装发送给接收者所在建筑物的紧急出口图。邮件称来自Rosie L. Ashton，主题是Up to datе еmеrgеnсy еxit map（最新紧急出口图），附件中有一个名为Emergencyexitmap.doc的word文档。

打开附件后，用户可以看到内容Emergency exit map，和弹窗“enable content”。

恶意word文档

如果用户点击Enable Content，word宏就会执行PowerShell脚本在计算机上下载和安装GandCrab v5.1勒索软件。

混淆的宏

从上面可以看出， PowerShell脚本被混淆了，这样就很难看出到底发生了什么。

混淆的word宏

解混淆后，可以看出宏文件会从http://cameraista.com/olalala/putty.exe下载一个名为putty.exe文件，并保存为C:\Windows\temp\putty.exe，然后执行putty.exe。

反混淆的PowerShell脚本

putty.exe可执行文件其实就是GandCrab 5.1，执行后会开始加密计算机上的文件。就像之前的GandCrab一样，GandCrab会继续加密文件并在文件名中加入随机的扩展。

GandCrab 5.1加密的文件

在加密计算机时，GandCrab还会在每个加密的文件夹中创建勒索信息。勒索信息表明GandCrab的版本是v5.1，并给出如何支付赎金的指示。

GandCrab 5.1勒索信息

目前还无法解密GandCrab 5.1加密的文件。这也给我们一个启示就是，不要随便打开邮件中的附件，除非你很清除邮件的发送者以及附件中的内容。研究人员还建议打开附件前使用杀毒软件对文档进行扫描。