Trend Micro研究人员发现攻击者滥用EGG (.egg)文件来传播GandCrab v4.3勒索软件的活动。EGG是一种与zip类似的压缩文件格式，大多数国家是不常用.EGG文件格式的，而在韩国EGG文件是广泛应用的。垃圾邮件活动背后的运营者主要攻击的区域也是韩国用户，因为垃圾邮件的主题、主体和附件名都使用了Hangul（一款由韩软公司Hansoft开发，在韩国人人皆知，人人必备的一款Office软件）。

图1. 攻击活动中的垃圾邮件样本，邮件主题为英文“[Fair Trade Commission] Notice of Investigation of Violation of E-Commerce Transaction”

垃圾邮件伪装成违反电子交易的调查。邮件主题摘要为不公平电子交易通知已经发送给总部。同时，附件中的EGG文件为Notification of e-commerce violation，EGG格式的文件可以用ALZip文件解压缩。

感染链

研究人员2018年8月7日发现了这些垃圾邮件。通过分析样本发现，附件EGG文件含有三个文件，2个.lnk快捷方式文件和一个exe文件，lnk文件会伪装成文档，而exe文件会在用户解压缩EGG文件后会自动删除。在lnk文件中插入了VenusLocker_korean.exe文件，也就是说VenusLocker组织是该垃圾邮件活动背后的传播者。

图2. EGG文件内容

如果用户被诱骗解压EGG文件，并随后打开两个伪装为doc文件的lnk文件。然后执行lnk中隐藏的GandCrab恶意软件。连接到C2服务器后，GandCrab v4.3勒索软件会加密被感染的机器中的文件。

图3. 感染链

图4. GandCrab v4.3勒索信息

Trend Micro数据表明GandCrab是2018年3月到7月逐渐检测数量最多的勒索软件家族。用户和企业会采纳最佳实践来消除感染这些主流勒索软件的风险。

如果用户需要恢复加密的文件，而且不能访问安全备份，那么用户就会被迫使访问支付勒索赎金的网站，并支付赎金给勒索者。

Trend Micro分析，GandCrab勒索软件攻击活动背后的攻击者的目标好像就是韩国用户，因为如果在韩国收到EGG附件，用户可能毫不犹豫就打开了，而在其他国家收到这样的附件，用户可能就不会打开了。

IoCs

LNK_GANDCRAB.E (SHA256: 9d932a98c37b9a5454d3ba32596ef0292f55d3f7b3f9831a39df526ad1e686aa)

Ransom_GANDCRAB.TIAOBHO (SHA256: 8163602357b51402b8e34b385b0228ac4a603e19c6c8006e1c7a7a8099450742)

TROJ_GANDCRAB.TICABAK (SHA256: f6013b930287d6fdb7d1d403396e4362e34a8d70192ba97b1f35ad97f99552c0)