欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

揭秘勒索界海王如何横扫中国

来源:本站整理 作者:佚名 时间:2018-12-16 TAG: 我要投稿

一、谁是勒索界当之无愧的海王?
2018年是一个勒索病毒高发的年度,可谓百(can)花(bu)争(ren)艳(du),勒索家族变种、传播方式层出不穷,所谓你方唱罢我登台,直接把CHINA当作了屠宰场,年初宰到了年尾,明年估计形势会更不乐观。
但大家是否会好奇,勒索病毒这么多,到底哪一家“强”呢?
深信服EDR安全团队,综合了2018年一整年的数据(感染案例,实际数据会更多),得出这位最终的勒索届年度海王为:GandCrab勒索病毒,中文外号咸水国巨蟹。下图,是这只巨蟹横行过的区域,包括新疆、广东、安徽、青海、江西、福建、浙江、山西、吉林、贵州、天津、北京、上海、河北、山东、辽宁、江苏、四川等,基本覆盖大半个中国,以东部沿海最为严重。

GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族,该勒索病毒首次出现于2018年1月,在将近一年的时候内,经历了五个大版本的更新迭代,此勒索病毒的传播感染方式多种多样,使用的技术也不断升级,勒索病毒采用高强度加密算法,导致加密后的文件,大部分无法解密。

深信服EDR安全团队,跟踪分析此勒索病毒将近一年的时间内,发现该勒索病毒主要的传播方式,如下:
(1)RDP爆破
(2)发送垃圾邮件,附加恶意链接或邮件附件,通过Word宏等加载PowerShell下载
(3)感染相关网站,下载捆绑有恶意程序的更新程序或正常软件
(4)利用RigEK、GrandSoft、Fallout Exploit等漏洞利用工具包,通过无文件方式PowerShell、JS、VBS等脚本释放加载
(5)通过恶意下载器下载勒索病毒
(6)通过U盘感染
二、海王的继承人和新生儿
同时是海王又是蟹王的GandCrab,可谓子孙繁多,其中GandCrab5.0.4最为勇猛,喜欢横行霸道,绝大多数“城堡”都是这位王子打下的,已经成为GandCrab勒索家族的事实上的代表和继承人。
近日,GandCrab这只巨蟹又生了一个娃,叫GandCrab5.0.9,他的上个哥哥是GandCrab5.0.5,上上个哥哥是GandCrab5.0.4,上上上个哥哥是GandCrab5.0.3。
深信服EDR安全团队,作为国内第一家发现并“吃蟹”的团队,始终在第一时间进行了深入报道,参考如下:

下面,重点介绍下新生儿GandCrab5.0.9:病毒在运行之后,会弹出对话框,如下所示:

加密文件之后,桌面显示,如下所示:

加密后的文件,是随机10个字母的后缀名,如下所示:

相应的勒索信息,如下所示:

TOR勒索站点的信息,如下所示:

可以看到TOR勒索站点作者在右侧还提供了一个聊天窗体,可以跟黑客进行聊天通信
通过分析发现它与之前的GandCrab5.0.5基本无差异,如下所示:

入口函数,对比如下:

主功能函数,对比如下:

主功能函数代码段中,GandCrab5.0.5第一个功能函数是空的,如下所示:

在GandCrab5.0.9版本中,作者编写了弹框信息代码,如下所示:

弹出对话框,如下所示:

点击确认之后,执行后面的加密勒索流程,与之前的GandCrab5.0.5的流程一样,如下所示:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载