概述

威胁情报中心检测到，不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到！”，攻击邮件主题为“你必须在3月11日下午3点向警察局报到！”，包含“Min，Gap Ryong”及其他假冒的发件人约70余个，邮件附件名为“03-11-19.rar"。

GandCrab勒索病毒是国内目前最活跃的勒索病毒之一，该病毒在过去一年时间经过5次大版本更新，腾讯威胁情报中心曾多次发布预警，该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破，挂马，垃圾邮件传播，该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。

GandCrab在国内近期投递恶意邮件较多，主要有以下几种形式

例如本次攻击我国政府本门的附件内直接包含了exe文件

附件内为韩语版本文件名，exe使用空格做伪装的超长文件名

附件使用伪装的pdf文件

借助doc宏文档执行DownLoader传播。

分析

附件中的EXE实际为外壳程序，通过在内存解密出真正的勒索程序加载payload

查看Dump后模块入口为GandCrab标准花指令混淆，目的为干扰静态分析

目前发现众多GandCrab 5.2系列版本病毒会使用一个固定名为BitHuender的互斥量，Bitdefender曾多次联合警方对GandCrab勒索病毒进行物理打击，对过去多个历史版本的病毒进行了解密，病毒作者互斥体起名与Bitdefender神似，猜测故意为之。

测试开启该互斥体情况下，GandCrab 5.2病毒版本运行后会直接自删除，从而跳过恶意加密行为，利用此方法可简单有效避开部分病毒版本。

GandCrab 5.2版本运行后会首先结束大量文件占用类进程，防止加密过程中产生异常

并获取当前操作系统语言做白名单过滤
419（俄罗斯）422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克)  45A（叙利亚）

GandCrab 5.2同样会收集用户机器信息

在内存中解密出RSA公钥

内存中解密出白文件不加密扩展后缀

解密出大量加密扩展后缀

通过在内存中解密出白名单不加密目录，主要有以下目录

ProgramData
IETldCache
Boot
Tor Browser
All Users
Local Settings
Windows

最终使用salsa20加密原始文件内容

文件加密完成后添加随机扩展后缀

IOCs
MD5:
fde0e8de7119080ec1705eba74037514
d5ad7b954eace2f26a37c5b9faaf0e53
安全建议
企业用户：
1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。
3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据（数据库等数据）进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署具备专业安全防护能力的云服务。