导语:GandCrab V2版本仍然延续了RSA加密并通过网络回传key的方式以及不连通C&C则不加密的特点,同时增强了代码的加密与混淆,使自身更加安全,并更换了加密后缀为.CRAB,增加了扫描二维码获取付款地址的功能。

1.GandCrab V2版本概述

2018年2月28日,安天发布了《GandCrab勒索软件着眼“达世币”,安天智甲有效防护》一文,随后国外安全公司与警方获取了GandCrab勒索软件的C&C服务器访问权,因此一些被加密的文件得以解密。

但攻击者并未就此罢手,几天之后,GandCrab V2版本即被发现。与原始版本相比,V2版仍然延续了RSA加密并通过网络回传key的方式以及不连通C&C则不加密的特点,同时增强了代码的加密与混淆,使自身更加安全,并更换了加密后缀为.CRAB,增加了扫描二维码获取付款地址的功能。目前GandCrab V2版本还不能解密,安天将持续跟进更新相关解密工具与解密方法。

2.GandCrab V2版本样本变化

2.1 样本标签

表 2 1二进制可执行文件

2.2 样本详细分析

2.2.1 加密后缀名

GandCrab V2版本样本的最大特点是加密后缀名由.GDCB变为.CRAB,如图所示:

图 2 1 加密后缀名变为.CRAB

2.2.2 C&C服务器地址

由于GandCrab原始版本所使用的C&C服务器被警方控制,攻击者在V2版本中更换了新的C&C服务器:politiaromana.bit,回传加密key的URL也随之发生了变化,如图所示:

图 2 1 加密后缀名变为.CRAB

2.2.3 勒索信息

GandCrab V2版本的勒索信息也发生了变化。首先是勒索的价格由1200美元降低到了400美元;其次,V2版本必须要使用Tor浏览器通过txt文本中的地址访问勒索信息页面,而不像原始版本那样使用默认浏览器弹出页面;同时勒索信息页面也发生了变化,增加了二维码获取付款地址的功能,使用手机扫描二维码后可以获取与页面上所显示的相同的达世币钱包地址:“dash:XnyHFGCRz9SKsQVVSSXnkLpU2skUs8UssT?amount=0.72440146”,如图所示:

图 2 3 新版本勒索信息页面

相应地,txt勒索信息也发生了变化,名称变为CRAB-Decypt.txt,增加了如何通过Tor即时聊天与开发者通信的说明:

2.3 变化对比表

表 2 2 GandCrab两版本变化对比

3.防护建议

3.1 预防建议

1. 及时备份重要文件,且文件备份应与主机隔离;
2. 及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机;
3. 尽量避免打开社交媒体分享等来源不明的链接,给信任网站添加书签并通过书签访问;
4. 对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;
5. 定期用反病毒软件扫描系统,如杀毒软件有启发式扫描功能,可使用该功能扫描计算机。

4.总结

GandCrab的开发者在C&C服务器被警方攻破后几天内便重新发布了新的V2版本,由此可以看出,GandCrab给其带来了相当丰厚的利益;但其勒索价格由1200美元降至400美元,可以猜测攻击者意图扩大受害面。GandCrab V2版本目前无法解密,仍然通过钓鱼邮件及漏洞工具包进行传播,安天建议用户打好相应漏洞补丁,不要随意打开邮件附件,并使用防护软件进行有效防护。

源链接

Hacking more

...