GandCrab 5.3版本出现 缴纳赎金方式改成邮箱 - 瑞星网

GandCrab 5.3版本出现 缴纳赎金方式改成邮箱

2019-04-24   

威胁等级：★★★★
GandCrab勒索病毒出现最新5.3版本，此版本和5.2没有太大区别，加密算法仍然是使用RSA+Salsa20，内置的RSA公钥也相同，主要区别是攻击者将暗网缴纳赎金修改为通过邮箱联系缴纳赎金。

背景介绍

近日捕获到GandCrab 5.3变种，此版本和5.2没有太大区别，加密算法仍然是使用RSA+Salsa20，内置的RSA公钥也相同，主要区别是攻击者将暗网缴纳赎金修改为通过邮箱联系缴纳赎金。攻击者做这种修改有两种可能，一种是部分受害者不知道如何访问病毒作者留下的暗网网址，无法与病毒作者取得联系，导致无法缴纳赎金。另一种情况是，GandCrab 5.2之前版本的解密密钥托管在暗网服务器中，被欧洲多国警方合作追踪到了控制服务器，从而获取到了托管在服务器中的解密密钥，因此攻击者要求通过邮箱联系，可能是为了更难被追查。

病毒MD5：6B054C8D851CB5A91AFB6A3D5BC57886

威胁等级：★★★★

病毒演示视频

技术分析

病毒运行后获取当前计算机语言，与病毒内置语言列表中的语言进行比较，如果本机语言在列表中则退出，不执行加密操作

病毒会结束指定进程，防止文件被占用无法加密，主要是数据库和办公软件的进程

解密出RSA公钥，此公钥和之前捕获的V5.2版本的公钥相同

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息，追加上勒索版本V5.3

使用RC4算法将获取到的本机信息加密，发送给控制服务器用于统计感染量

在做好准备工作之后，病毒会创建线程开始加密文件

遍历磁盘中的文件

加密时排除一些文件和文件夹，防止系统无法正常运行

文件的内容被Salsa20算法加密，文件名被追加上随机后缀

删除系统自带的卷影备份

修改桌面背景图片，显示勒索信息

修改后的界面如下

加密完成后退出，并调用cmd删除自身文件

防范措施

1. 不打开可以邮件邮件
2. 浏览网页时不下载运行可疑程序
3. 及时更新系统补丁
4. 不使用弱口令密码
5. 安装杀毒软件
6. 安装勒索病毒防御软件