在过去的三天里，LMNTRIX Labs一直在追踪GandCrab勒索软件，该样本通过RIG漏洞传播。我们分析的样本为：5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011，文件大小129KB。

 

感染

图1：Ransom_GANDCRAB 检测

文件版本和资源如下所示:

 

图2：资源——文件图标

 

图3：勒索软件样本版本信息

加密
在调试器中加载样本以进一步研究恶意软件的行为：

00401424|。FF15 54F04000 CALL DWORD PTR DS:[<&KERNEL32.GlobalAlloc>];\GlobalAlloc

GlobalAlloc函数用于内存管理，主要用于解密或解码文件中的代码。

图4：解码函数

遍历上面快照中突出显示的子进程：Address4011F1。执行所有的指令，到达如下位置：

图5：跳到解密代码

进一步调试代码之后，我们发现这个文件包含了一些反调试技巧：

 

上面的代码都紧紧围绕反调试。我们还在代码中看到多个与网络相关的部件：

这些指令有选择性地调用网络连接函数。在分析过程中，我们观察到恶意软件联系以下域名：

ipv4bot.whatismyipaddress.com ——用来检测网络的IP地址

a.dnspod.com ——我们确认其在Virustotal的Fortinet AV中标记为恶意软件。

注册表项和文件创建
父文件的副本释放在 %appdata%\Microsoft t文件夹中，文件名随机。

并在创建的注册表项中定位相同的文件： 

为找到文件名和注册表键值的随机性，我们在执行文件之前恢复了干净状态。 使用<random name.exe>创建副本文件。 Runonce键的值也是随机生成的。 下面是一个例子： 

随机值:

在％appdata％文件夹中，恶意软件将释放名为GDCB-DECRYPT.txt的文本文件。这包含恶意软件的赎金便条，指示用户下载Tor浏览器后购买私钥： 

 

图6：GDGB-DECRYPT.txt

IOC

文件哈希:
SHA 256: 5d53050a1509bcc9d97552fa52c1105b51967f4ccf2bde717b502605db1b5011
恶意域名:
a.dnspod.com
TOR 链接:
hxxp://gdcbghvjyqy7jclk.onion.top/259a4fdc3766943
hxxp:// gdcbghvjyqy7jclk.onion.casa/259a4fdc3766943
hxxp://gdcbghvjyqy7jclk.onion.guide/259a4fdc3766943
勒索软件变种添加的文件扩展名：
.GDCB
注册表:
键: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE"  
值: "Random value name on each execution"
物理位置:

%appdata% \Microsoft文件夹中，文件名随机

结论
建议用户应用IOC详细信息设置警报以防止感染。另外，用户在收到不明用户的附件时应时刻谨慎。