針對GandCrab V4.0勒索軟體的詳細分析

「用指尖改變世界」

就像最初由BleepingComputer報道的那樣，新的GandCrab v4.0在幾天前被發現正在將尋找破解軟體的用戶作為其攻擊目標。惡意頁面目前正被注入到合法的網站中，以便將不知情的用戶引導至GandCrab惡意軟體。

自GandCrab再上一次經歷重大更新以來，已有兩個多月的時間了。雖然這個最新版本在代碼結構方面進行了改進，但其主要目的實際上仍是相同的。雖然一些較舊的功能已經被刪除，但大多數基本的功能仍然存在。引人注意是，在之前更新中添加的壁紙更改功能已經不再執行，然而最大的變化還是從使用RSA-2048演算法切換到了使用速率更高的流密碼演算法salsa20來加密數據，這也是Petya勒索軟體在過去使用過的。此外，在加密受害者文件之前，它已經放棄了與C2伺服器的連接，這意味著它現在還可以加密未連接到互聯網的用戶。

被攻陷的網站將服務於GandCrab V4.0

據報道，這個惡意軟體是通過被攻陷的採用WordPress構建的網站傳播的。這並不奇怪，是因為WordPress向來是最受歡迎的攻擊目標。事實上，對於這個最新版本，我們已經發現了許多被攻陷的網站被注入了惡意頁面（如下圖所示）。

圖1.注入被攻陷網站的惡意頁面

圖2.指向GandCrab v4.0的下載頁面

http[:]//gabysutton[.]com/file_c.php?vubljfwmqpkebpes=437261636b5f53617070686972655f506c7567696e735f666f725f41667465725f456666656374732e657865 (Crack_Sapphire_Plugins_for_After_Effects.exe)

http[:]//gagaryn[.]com/file_c.php?lkgpsudyvbjs=437261636b5f4d657267696e675f496d6167655f746f5f5044462e657865 (Crack_Merging_Image_to_PDF.exe)

http[:]//blog.ygtecnopc[.]com/file_c.php?rnopbuvnxdmk=437261636b5f4d657267696e675f496d6167655f746f5f5044462e657865 (Crack_Merging_Image_to_PDF.exe)

「喊話」名單增加新成員、仍然規避俄語用戶

正如我們預期的那樣，GandCrab的執行是直截了當的，沒有任何反分析或深層的混淆。

包含惡意軟體研究人員名字的經典消息字元串仍然混合在代碼中，這暗示了這個新版本是由相同的開發人員編寫的。GandCrab v4.0代碼中的字元串包含了兩個人的名字——Daniel J. Bernstein和 zeromgel337，前者是Salsa20演算法的開發者，後者是一名惡意軟體研究員。他們是GandCrab「喊話」名單上的新成員。

圖3.從解壓縮的二進位文件中提取出來的字元串

與之前的版本一樣，如果有跡象表明目標系統來自一個常用語是俄語的國家，它將不會繼續感染。除了俄羅斯鍵盤布局檢查之外，這個最新版本還為以下俄語國家添加了用戶界面語言的檢查：

俄語（0x419）

烏克蘭語（0x422）

白俄羅斯語（0x423）

塔吉克（0x428）

亞美尼亞語（0x42B）

亞塞拜然（0x42C/0x82C）

喬治亞語（0x437）

哈薩克（0x43F）

吉爾吉斯斯坦（0x440）

土庫曼（0x442）

烏茲別克（0x843）

塔塔爾（0x444）

羅馬尼亞語（0x818）

摩爾多瓦（0x819）

如果用戶的Common AppData目錄（如C:ProgramData）中存在這樣格式的文件：.lock（如2078FBF8.lock），也會導致惡意軟體進程終止而不會感染系統。文件名中的「8hex-chars」是從根驅動器的卷序列號值生成的。

圖4.用於檢查 .lock是否存在的代碼片段

Salsa20和網路共享加密

被加密的文件現在被附加了「.KRAB」擴展名。被放入到每個目錄的贖金票據也已經被更改為了「KRAB-DECRYPT.txt」。

圖5.被加密文件被附加.KRAB擴展名

系統中的所有驅動器（包括映射驅動器）都將被惡意軟體加密。這一次，為了擴大其影響範圍，它還對受害者設備上記住的網路共享進行了加密。

圖6.加密網路共享的常式

如上所述，這個新版本現在使用Salsa20流密碼演算法來加密文件，而不是RSA-2048。後者現在被用於一個稍微不同的任務，如下所述。同樣需要注意的是，對於以前的版本而言，在文件被加密之前，惡意軟體需要連接到它的C2伺服器。然而，對於這個新版本而言，這並不需要。這意味著即使設備沒有連接到互聯網，它也仍然可以加密文件。

RSA-2048私鑰和Salsa參數的加密執行如下：

生成RSA-2048私鑰和公鑰；

32位元組和8位元組值分別作為Salsa20的密鑰和nonce隨機生成；

使用Salsa20對生成的RSA-2048私鑰進行加密；

Salsa20密鑰和nonce也使用先前生成的RSA-2048公鑰進行加密；

加密密鑰存儲為一個二進位塊，寫入註冊表位置HKCUSoftwarekeys_datadataprivate；

原始RSA公鑰存儲在HKCUSoftwarekeys_datadatapublic下。

圖7.添加到註冊表的加密密鑰

類似的常式在文件加密常式中執行。生成一對32位元組和8位元組的隨機值，分別由Salsa20用作密鑰和nonce參數，這將用於每一個要加密的文件。和預期的一樣，這些密鑰會立即由RSA-2048公鑰加密，該公鑰被附加在被加密文件內容的末尾，連同其原始文件大小。

圖8.由GandCrab V4.0加密的文件的結構

贖金票據和付款頁面

與新的加密程序一起，贖金票據也經歷了一些變化。新的贖金票據還包含了上述中所討論的加密密鑰（以base64編碼）和受害者的基本信息，在使用base64編碼之前，這些信息被其開發者使用RC4演算法進行了加密，使用硬編碼的密鑰「jopochlen」。

圖9. 贖金票據包含加密密鑰和受害者數據

GandCrab的支付頁面並沒有太大變化。作為保證，他們仍然為受害者提供了一個文件的免費解密。但是，在我們的測試中，它實際上無法解密我們上傳的被加密文件。無論測試的結果如何，我們仍然鼓勵受害者不要支付贖金。

圖10.支付頁面要求在幾天之內支付1000美元

圖11 .GandCrab支付網站的免費解密出現了一個錯誤

結論

儘管在過去的兩個月里，開發者已經對這個新版本的GandCrab進行了大量的內部更改，但它仍是同一個文件加密惡意軟體，它會對那些它成功感染的系統造成嚴重的傷害。即便如此，一個良好的網路使用習慣仍可以緩解這一問題。在這種情況下，用戶也要特別小心從互聯網下載的文件，特別是那些所謂的破解軟體。這些軟體不僅違反了版權法，而且還會帶來很大的風險，尤其是對於未經培訓的用戶來說。

目前，惡意軟體正在被分發到被攻陷的站點。我們預計它會轉向其他的分發模式，特別是垃圾電子郵件活動，就像它過去所做的那樣。

我們沒有找到與此版本相關的任何網路通信。但是，GandCrab v4.1僅在v4.0發布的一兩天之後就已經發布了。根據我們的簡要分析，這個更新的版本現在包含了一些網路通信功能，我們將在另一篇文章中對它進行討論。

IOCs

6c1ed5eb1267d95d8a0dc8e1975923ebefd809c2027427b4ead867fb72703f82 (packed) –

W32/GandCrypt.CHT!tr

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！