含有緊急出口圖的垃圾郵件推送GandCrab勒索軟體

研究人員近日發現一起新的垃圾郵件活動，垃圾郵件活動會發送收件人所在建築物的緊急出口圖給收件人，緊急出口圖同時也被用戶安裝GandCrab勒索軟體。

BleepingComputer決定深入分析傳播的垃圾郵件和文件，以確定活動的工作原理。

最新的垃圾郵件活動假裝發送給接收者所在建築物的緊急出口圖。郵件稱來自Rosie L. Ashton，主題是Up to datе еmеrgеnсy еxit map（最新緊急出口圖），附件中有一個名為Emergencyexitmap.doc的word文檔。

打開附件後，用戶可以看到內容Emergency exit map，和彈窗「enable content」。

惡意word文檔

如果用戶點擊Enable Content，word宏就會執行PowerShell腳本在計算機上下載和安裝GandCrab v5.1勒索軟體。

混淆的宏

從上面可以看出， PowerShell腳本被混淆了，這樣就很難看出到底發生了什麼。

混淆的word宏

解混淆後，可以看出宏文件會從http://cameraista.com/olalala/putty.exe下載一個名為putty.exe文件，並保存為C:Windows empputty.exe，然後執行putty.exe。

反混淆的PowerShell腳本

putty.exe可執行文件其實就是GandCrab 5.1，執行後會開始加密計算機上的文件。就像之前的GandCrab一樣，GandCrab會繼續加密文件並在文件名中加入隨機的擴展。

GandCrab 5.1加密的文件

在加密計算機時，GandCrab還會在每個加密的文件夾中創建勒索信息。勒索信息表明GandCrab的版本是v5.1，並給出如何支付贖金的指示。

GandCrab 5.1勒索信息

目前還無法解密GandCrab 5.1加密的文件。這也給我們一個啟示就是，不要隨便打開郵件中的附件，除非你很清除郵件的發送者以及附件中的內容。研究人員還建議打開附件前使用殺毒軟體對文檔進行掃描。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！