在GandCrab 4.0发布仅两天后，FortiGuard Labs发现了一个使用相同方法分发的新版本（v4.1），使用被攻陷的网站伪装成破解应用程序的下载站点。

在这个新版本中，GandCrab增加了一个在之前版本中没有出现过的网络通信策略。此外，我们将分享对目前流传的有关“SMB漏洞利用扩散”威胁分析的报告。

一、网络通信

图1 恶意软件将信息发送到受感染网站列表

这个新版本的GandCrab恶意软件包含一个非常长的硬编码列表，列表内容为它所连接的受感染的网站。在一个二进制文件中，这些网站的数量可以达到近千个独立的主机。

为了生成每个主机的完整URL，使用伪随机算法从多组预定义词中进行选择。最终的URL采用以下格式（例如www.{host}.com/data/tmp/sokakeme.jpg）：

图2  GandCrab v4.1连接的URL格式

成功连接到URL后，此恶意软件会发送加密（和base64编码）的受害者数据，其中包含如下受感染系统和GandCrab信息：

· IP地址

· 用户名

· 主机名

· Network DOMAIN

· 安装的杀软列表

· 默认的系统区域设置

· 俄语键盘布局 (0=Yes/1=No)

· 操作系统

· 处理器结构

· 随机ID ({卷序列号的crc } {卷序列号})

· 网络和本地驱动

· GandCrab 内部信息:

id

sub_id

version

action

但是，我们没有发现确切的证据表明恶意软件中包含的硬编码网站实际上曾被用作GandCrab的服务器或下载站点。更令人好奇的是，事实上，将受害者信息发送到列表中的所有存活主机实际上是不合逻辑的，因为单个成功的发送已经足够了。考虑到这些因素，我们认为这个功能要么是实验性的，要么只是转移分析，列表中包含的URL只是一个不友善的受害者。

二、终止进程确保加密

经分析还发现，为了确保目标文件的完全加密，GandCrab可能会杀死以下进程：

– msftesql.exe

– sqlagent.exe

– sqlbrowser.exe

– sqlwriter.exe

– oracle.exe

– ocssd.exe

– dbsnmp.exe

– synctime.exe

– agntsvc.exeisqlplussvc.exe

– xfssvccon.exe

– sqlservr.exe

– mydesktopservice.exe

– ocautoupds.exe

– agntsvc.exeagntsvc.exe

– agntsvc.exeencsvc.exe

– firefoxconfig.exe

– tbirdconfig.exe

– mydesktopqos.exe

– ocomm.exe

– mysqld.exe

– mysqld-nt.exe

– mysqld-opt.exe

– dbeng50.exe

– sqbcoreservice.exe

– excel.exe

– infopath.exe

– msaccess.exe

– mspub.exe

– onenote.exe

– outlook.exe

– powerpnt.exe

– steam.exe

– thebat.exe

– thebat64.exe

– thunderbird.exe

– visio.exe

– winword.exe

– wordpad.exe

杀死这些进程允许加密例程成功的完成其目标而不会发生任何不期望的中断。此外，这些目标文件类型通常包含对受害者有价值的数据，因此增加了受害者考虑付款以获取其文件的可能性。

三、GandCrab SMB 漏洞利用传播

在过去的几天里，大量的报道一直声称这个版本的GandCrab恶意软件可以通过“SMB漏洞”自我传播。这个词已经成为网络安全行业的恶魔，在去年第二季度全球遭到WannaCry和Petya/NotPeta勒索软件攻击之后。所以使用这种传播方法的另一个勒索软件引起轰动也就不足为奇了。

由于我们没有看到任何关于索赔的技术报告，我们决定调查并确认此谣言，因为在我们之前的分析中未观察到此功能。然而，这无济于事。

据报道，一个名为“network f**ke”的模块应该负责执行上述漏洞利用。通过恶意软件二进制文件中的调试字符串显然可以看出这一点：

图3  GandCrab v4.0二进制文件中的调试字符串

但是，尽管有这个字符串，我们找不到任何类似于报道的漏洞利用功能的实际函数。（这个字符串实际上是第一次在v4.0中找到而不是在v4.1中，至少在我们分析过的样本中是这样的。）因为这个字符串没有连接到任何实际的漏洞利用扩展函数，我们可以发现，它似乎更可能只是指网络共享的加密，而不是任何类型的漏洞利用传播。

四、总结

我们提供此分析，以防止社区中出现不必要的恐慌。它并不意味着诋毁任何报告或个性分析，但在掌握其存在的确凿证据之前，我们目前认为GandCrab的SMB利用传播仅仅是推测性的。

如果该功能确实存在（我们真诚希望不存在），我们一定会提供更新。然而，随着GandCrab在过去一周的快速发展，以及公众对这种漏洞利用传播功能的猜测，威胁攻击者决定在未来的更新中添加它也不足为奇。

无论如何，微软的MS17-010更新已经修补了这个漏洞。因此，请确保您的系统已得到适当更新。与此同时，FortiGuard Labs将密切关注任何进一步的发展。

IOCs

Sha256

37e660ada1ea7c65de2499f5093416b3db59dfb360fc99c74820c355bf19ec52 (4.1) – W32/Gandcrab.IV!tr

222ac1b64977c9e24bdaf521a36788b068353c65869469a90b0af8d6c4060f8a (4.1) – W32/Gandcrab.IV!tr

cf104f2ad205baee6d9d80e256201ef6758b850576686611c355808a681bec60 (4.1) – W32/Gandcrab.IV!tr

8ecbfe6f52ae98b5c9e406459804c4ba7f110e71716ebf05015a3a99c995baa1 (4.1) – W32/Filecoder_GandCrab.D!tr

6c1ed5eb1267d95d8a0dc8e1975923ebefd809c2027427b4ead867fb72703f82 (4.0) – W32/GandCrypt.CHT!tr