超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

2019-04-25 16:14 稿源:用户投稿  0条评论

近日,瑞星安全专家捕获到最新勒索病毒GandCrab 5. 3 变种,此版本延续了5. 2 版本的主要技术,用户一旦中毒文件将无法打开,同时桌面背景图片会被修改为勒索信息,需要交纳赎金才可解密。而此次5. 3 版本与之前最大的不同之处在于,攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金,这极有可能是为了躲避警方的追查。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:勒索信息支付赎金方式改为邮件

瑞星安全专家分析攻击者此次修改的原因有两种可能,第一种是部分受害者不知道如何访问病毒作者留下的暗网地址,所以无法与病毒作者取得联系,导致无法缴纳赎金;另一种情况是GandCrab 5. 2 之前版本的解密密钥托管在暗网服务器中,被欧洲多国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是躲避追查。

瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。目前,瑞星所有个人及企业级产品均可对GandCrab 5. 3 勒索病毒进行查杀,瑞星之剑可以有效拦截该勒索病毒。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:瑞星ESM与瑞星之剑拦截查杀截图

技术分析

勒索病毒GandCrab 5. 3 运行后获取当前计算机语言,与病毒内置语言列表中的语言进行对比,如果本机语言在列表中则退出,不执行加密操作。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:判断计算机语言

病毒会结束指定进程,防止文件被占用无法加密,主要是针对数据库和办公软件的进程。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:查找指定进程

解密出RSA公钥,此公钥和之前捕获的V5. 2 版本的公钥相同。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:解密出RSA公钥

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息,追加上勒索版本V5.3。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:获取的本机信息

使用RC4 算法将获取到的本机信息加密,发送给控制服务器用于统计感染量。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:加密后的本机信息

在做好准备工作之后,病毒会创建线程开始加密文件。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:创建线程加密

遍历磁盘中的文件。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:遍历文件

加密时排除一些文件和文件夹,防止系统无法正常运行。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:排除指定文件

文件的内容被Salsa20 算法加密,文件名被追加上随机后缀。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:被加密文件

删除系统自带的卷影备份。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:删除卷影备份

修改桌面背景图片,显示勒索信息。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:修改桌面背景

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:修改后的桌面背景

加密完成后退出,并调用cmd删除自身文件。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:删除自身文件

防范措施:

1、不打开陌生或可疑邮件,不下载邮件附件。

2、浏览网页时不下载运行可疑程序。

3、及时更新系统、漏洞补丁。

4、不使用弱口令密码。

5、多台机器不使用相同密码。

6、安装杀毒软件及时更新病毒库。

7、安装防勒索软件,防止未知病毒变种加密文件。

本文由站长之家用户投稿,未经站长之家同意,严禁转载。如广大用户朋友,发现稿件存在不实报道,欢迎读者反馈、纠正、举报问题(反馈入口)。

免责声明:本文为用户投稿的文章,站长之家发布此文仅为传递信息,不代表站长之家赞同其观点,不对对内容真实性负责,仅供用户参考之用,不构成任何投资、使用建议。请读者自行核实真实性,以及可能存在的风险,任何后果均由读者自行承担。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请

相关文章

相关热点

查看更多