超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

点击上方 “安全优佳” 可以订阅哦！

近日，瑞星安全专家捕获到最新勒索病毒GandCrab 5.3 变种，此版本延续了5.2 版本的主要技术，用户一旦中毒文件将无法打开，同时桌面背景图片会被修改为勒索信息，需要交纳赎金才可解密。而此次5.3 版本与之前最大的不同之处在于，攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金，这极有可能是为了躲避警方的追查。

图：勒索信息支付赎金方式改为邮件

瑞星安全专家分析攻击者此次修改的原因有两种可能，第一种是部分受害者不知道如何访问病毒作者留下的暗网地址，所以无法与病毒作者取得联系，导致无法缴纳赎金；另一种情况是GandCrab 5.2之前版本的解密密钥托管在暗网服务器中，被欧洲多国警方合作追踪到了控制服务器，从而获取到了托管在服务器中的解密密钥，因此攻击者要求通过邮箱联系，可能是躲避追查。

瑞星公司提醒广大用户切勿点击陌生邮件，安装有效杀毒软件，以防被勒索病毒攻击。目前，瑞星所有个人及企业级产品均可对GandCrab 5.3勒索病毒进行查杀，瑞星之剑（下载地址：http://www.rising.com.cn/j/）可以有效拦截该勒索病毒。

图：瑞星ESM与瑞星之剑拦截查杀截图

技术分析

勒索病毒GandCrab 5.3运行后获取当前计算机语言，与病毒内置语言列表中的语言进行对比，如果本机语言在列表中则退出，不执行加密操作。

图：判断计算机语言

病毒会结束指定进程，防止文件被占用无法加密，主要是针对数据库和办公软件的进程。

图：查找指定进程

解密出RSA公钥，此公钥和之前捕获的V5.2版本的公钥相同。

图：解密出RSA公钥

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息，追加上勒索版本V5.3。

图：获取的本机信息

使用RC4算法将获取到的本机信息加密，发送给控制服务器用于统计感染量。

图：加密后的本机信息

在做好准备工作之后，病毒会创建线程开始加密文件。

图：创建线程加密

遍历磁盘中的文件。

图：遍历文件

加密时排除一些文件和文件夹，防止系统无法正常运行。

图：排除指定文件

文件的内容被Salsa20算法加密，文件名被追加上随机后缀。

图：被加密文件

删除系统自带的卷影备份。

图：删除卷影备份

修改桌面背景图片，显示勒索信息。

图：修改桌面背景

图：修改后的桌面背景

加密完成后退出，并调用cmd删除自身文件。

图：删除自身文件

防范措施：

1、不打开陌生或可疑邮件，不下载邮件附件。

2、浏览网页时不下载运行可疑程序。

3、及时更新系统、漏洞补丁。

4、不使用弱口令密码。

5、多台机器不使用相同密码。

6、安装杀毒软件及时更新病毒库。

7、安装防勒索软件，防止未知病毒变种加密文件。

安全优佳

http://news.secwk.com

长按识别左侧二维码，关注我们