來(lái)源：深信服官網

原文(wén)鏈接：http://www.sangfor.com≠π.cn/about/source-newλ✘ ☆s-company-news/1094.ht✔€✔ml

近(jìn)日(rì)，深信服安全團隊發現(xiàn)Ga&↕✔εndCrab4.0活躍度提升，跟蹤到(dào)多(duō)起Ga←₹ndCrab4.0變種勒索事(shì)件(jiàn)，現÷$®×(xiàn)發布安全預警，提醒廣大(dà)用(yò↕♠ ng)戶預防GandCrab4.0勒索。

GandCrab4.0變種采用(yòng)RSA+AES加密算(β★®δsuàn)法，将系統中的(de)大(dà)部分€™ε(fēn)文(wén)檔文(wén)件(jiàn)加密為(wèi∞→<).KRAB後綴的(de)文(wén)件(jiàn)，•≈π 然後對(duì)用(yòng)戶進行(xíng)勒索。該勒索病毒主δ✘要(yào)通(tōng)過RDP爆破、郵件(jiàn)、漏洞、©♥₽ 垃圾網站(zhàn)挂馬等方式進行(xín>♥"g)傳播，其自(zì)身(shēn)不(bù)具備感染傳播能(nénΩ g)力，不(bù)會(huì)主動對(du¥∞≠ì)局域網的(de)其他(tā)設備發起攻擊，會(huì)加密局域網共享σ↔∞₹目錄文(wén)件(jiàn)夾下(xià∞₽ )的(de)文(wén)件(jiàn)。

病毒名稱：GandCrab4.0變種

病毒性質：勒索病毒

影(yǐng)響範圍：大(dà)部分(fēn)集中在巴∞∏♣≈西(xī)、美(měi)國(guó)、印度、印度尼西(xī)亞和(↕ε€‍hé)巴基斯坦等國(guó)家(jiā)，近(jìn)期開(kāi)始$∞‍>在國(guó)內(nèi)活躍

危害等級：高(gāo)危

傳播方式：郵件(jiàn)、漏洞、垃圾網站(zhà↓©n)挂馬等方式傳播，不(bù)具備內(nèi)網傳播能(néng±∑πβ)力

病毒分(fēn)析

病毒描述

GandCrab勒索病毒是(shì)2018年(nián)上(shàng)•α半年(nián)傳播範圍廣泛、攻擊頻(pín)率很(hěn)高(gāo)的ε®π(de)勒索病毒之一(yī)。該勒索家(jiā)族于2018"✔• 年(nián)01月(yuè)被首次發現(xiàn)後，短(duǎn)短(du♠↔±☆ǎn)幾個(gè)月(yuè)的(de)時(shí)間(jiān)，就(j☆≥®♥iù)連續出現(xiàn)了(le)V1.0,V2.0,V2.1♥✔,V3.0,V4.0等變種，非常活躍，目前此勒索病毒采用(yòng₹§α)RSA+AES加密算(suàn)法，無∑±¥≥法被解密。

該勒索病毒主要(yào)通(tōng)過RDP爆破、郵件(jiàn)、↕→÷漏洞、垃圾網站(zhàn)挂馬等方式進行("♣∞♥xíng)傳播，其自(zì)身(shēn ¶)不(bù)具備感染傳播能(néng)力，不(bù)會(huì)主動§★σ對(duì)局域網的(de)其他(tā)設備發起攻擊，會(huì)≈≈加密局域網共享目錄文(wén)件(jià♦®₹n)夾下(xià)的(de)文(wén)件(ji₹∞àn)。

樣本分(fēn)析

該勒索病毒的(de)場(chǎng)景流程圖>σ如(rú)下(xià)所示：

混淆加密&&內(nèi)存解密：

樣本經過多(duō)層封裝與代碼混淆，代碼會(huì)經過幾層π ↑÷解密操作(zuò)，在內(nèi)存中解密出勒索病毒PaΩ ∏yload代碼，最後進行(xíng)內(nèi)存拷貝，屬性更改之後，跳(tσ↔iào)轉到(dào)相(xiàng)應的(de)勒索Payload∏≠≥入口點執行(xíng)勒索操作(zuò)。€‍&δ

提升權限：

進行(xíng)自(zì)我提權，将病毒自(zì)身(shēn)的(de)進 ≥程權限提高(gāo)，以更高(gāo)權限執行(xíng)任意✔δ©操作(zuò)。

殺進程：

該勒索軟件(jiàn)進行(xíng)遍曆進程的 §(de)操作(zuò)，并結束相(xiàng)關的(de)進程，相(xiàngσ→Ω)關的(de)進程列表如(rú)下(xià)：

區(qū)域豁免：

該病毒對(duì)俄羅斯、烏茲别克斯坦、亞利桑那(nà)州等區(q♥£®ū)域進行(xíng)了(le)保護，做(zuò)了(le)主機(Ω‍®$jī)豁免的(de)動作(zuò)，通(tōng)過查詢操作(z₩¶÷↔uò)系統安裝的(de)輸入法和(hé)操πα∞作(zuò)系統語言版本，确定是(shì)否豁免主機(jī)。

生(shēng)成公鑰：

利用(yòng)程序中硬編碼的(de)數(shù)據☆'✔，生(shēng)成加密RSA的(de)公鑰public：

加密文(wén)件(jiàn)：

遍曆主機(jī)文(wén)件(jiàn) ♠<目錄，生(shēng)成以.KRAB為(wèi)後綴的(de)加密♦ ↕ 文(wén)件(jiàn)，如(rú)下(xià)圖所示：

删除卷影(yǐng)：

加密完成之後，通(tōng)過ShellExecuteW函數(shù)調用₹Ω£(yòng)wmic.exe程序，删除磁盤卷影(yǐng)£>。

最後，彈出勒索信息文(wén)件(jiàn)

解決方案

深信服提醒廣大(dà)用(yòng)戶盡快(kuài)做(zuò)好(hǎo)病毒檢測與防禦措施，防範此"​"→次勒索攻擊。

病毒檢測查殺

1、深信服為(wèi)廣大(dà)用(yòng)戶免費(fèi)提♣ 供查殺工(gōng)具，可(kě)下(xià)載如(rú)下(γ☆xià)工(gōng)具，進行(xíng)檢測查殺。

http://edr.sangfor.com.cn/tool/ &< SfabAntiBot.zip

2、深信服EDR産品及防火(huǒ)牆等安全産品→♥↔均具備病毒檢測能(néng)力，部署相(xiàng)關産品用(≤€yòng)戶可(kě)進行(xíng)病毒檢測。

病毒防禦

1、及時(shí)給電(diàn)腦(nǎo)打補丁，←‍δ修複漏洞。

2、對(duì)重要(yào)的(de)數(shù)據文(wéγ↔n)件(jiàn)定期進行(xíng)非本地(dì)備份。&↕↔

3、不(bù)要(yào)點擊來(lái)φ‍源不(bù)明(míng)的(de)郵件(jiàn)附件(jiàn)，不(bù‍ €<)從(cóng)不(bù)明(míng)網站(zhàn)下(xiàγ ↓±)載軟件(jiàn)。

4、盡量關閉不(bù)必要(yào)的(de)文(wén)件(jiàn)共享權↑↓限。

5、更改賬戶密碼，設置強密碼，避免使用(yòng)統一(yī)的(d♣π©e)密碼，因為(wèi)統一(yī)的(de)密碼會(huì)導緻≈'∞≠一(yī)台被攻破，多(duō)台遭殃。

6、GandCrab勒索軟件(jiàn)之前的(d÷←☆e)變種會(huì)利用(yòng)RDP(遠(yuǎn)程桌面¥‍協議(yì)），如(rú)果業(yè)務上(shà←φng)無需使用(yòng)RDP的(de)，建議(yì)關閉RDP。當出現( ×xiàn)此類事(shì)件(jiàn)時(shí)，推薦使用><↓≤(yòng)深信服防火(huǒ)牆，或者終端檢測響應•↓平台（EDR）的(de)微(wēi)隔離(lí)功能(néng)φ♠對(duì)3389等端口進行(xíng)封✘♣堵，防止擴散！

7、深信服防火(huǒ)牆、終端檢測響應平台（EDR）均有(yǒu)防爆破功能'←∞(néng)，防火(huǒ)牆開(kāi)啓此功能÷₽(néng)并啓用(yòng)11080051、110•∏α>80027、11080016規則，EDR開(kāi)啓防爆×σ→φ破功能(néng)可(kě)進行(xíng)γ♣防禦。

最後，建議(yì)企業(yè)對(duì)全網進行(‌♠♣εxíng)一(yī)次安全檢查和(hé)殺毒掃描，≤ 加強防護工(gōng)作(zuò)。推薦使用(yòng)深∞>☆♣信服安全感知(zhī)+防火(huǒ)牆+EDR<←λ，對(duì)內(nèi)網進行(xíng)感知(zhī)Ω'€、查殺和(hé)防護。