勒索“达世币”的GANDCRAB勒索软件更新V2版本,安天智甲有效防护

时间  2018年03月10日  来源:  Antiy

1 GandCrab V2版本概述

2018年2月28日,安天发布了《GandCrab勒索软件着眼“达世币”,安天智甲有效防护》一文,随后国外安全公司与警方获取了GandCrab勒索软件的C&C服务器访问权,因此一些被加密的文件得以解密。

但攻击者并未就此罢手,几天之后,GandCrab V2版本即被发现。与原始版本相比,V2版仍然延续了RSA加密并通过网络回传key的方式以及不连通C&C则不加密的特点,同时增强了代码的加密与混淆,使自身更加安全,并更换了加密后缀为.CRAB,增加了扫描二维码获取付款地址的功能。目前GandCrab V2版本还不能解密,安天将持续跟进更新相关解密工具与解密方法。

经验证,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)可实现对GandCrab V2版本的有效防护。

2 GandCrab V2版本样本变化

2.1 样本标签

表 2 1二进制可执行文件

2.2 样本详细分析

2.2.1 加密后缀名

GandCrab V2版本样本的最大特点是加密后缀名由.GDCB变为.CRAB,如图所示:

图 2 1 加密后缀名变为.CRAB

2.2.2 C&C服务器地址

由于GandCrab原始版本所使用的C&C服务器被警方控制,攻击者在V2版本中更换了新的C&C服务器:politiaromana.bit,回传加密key的URL也随之发生了变化,如图所示:

图 2 1 加密后缀名变为.CRAB

2.2.3 勒索信息

GandCrab V2版本的勒索信息也发生了变化。首先是勒索的价格由1200美元降低到了400美元;其次,V2版本必须要使用Tor浏览器通过txt文本中的地址访问勒索信息页面,而不像原始版本那样使用默认浏览器弹出页面;同时勒索信息页面也发生了变化,增加了二维码获取付款地址的功能,使用手机扫描二维码后可以获取与页面上所显示的相同的达世币钱包地址:“dash:XnyHFGCRz9SKsQVVSSXnkLpU2skUs8UssT?amount=0.72440146”,如图所示:

图 2 3 新版本勒索信息页面

相应地,txt勒索信息也发生了变化,名称变为CRAB-Decypt.txt,增加了如何通过Tor即时聊天与开发者通信的说明:

2.3 变化对比表

表 2 2 GandCrab两版本变化对比

3 防护建议

3.1 预防建议

1. 及时备份重要文件,且文件备份应与主机隔离;
2. 及时安装更新补丁,避免一些勒索软件利用漏洞感染计算机;
3. 尽量避免打开社交媒体分享等来源不明的链接,给信任网站添加书签并通过书签访问;
4. 对非可信来源的邮件保持警惕,避免打开附件或点击邮件中的链接;
5. 定期用反病毒软件扫描系统,如杀毒软件有启发式扫描功能,可使用该功能扫描计算机。

3.2 安天智甲有效防护

安天智甲终端防御系统通过诱饵文件、行为分析、文件变化审计、进程身份识别等多种能力的结合,实现了对主流勒索软件的有效防护。

经验证,安天智甲可实现对GandCrab V2版本的有效防护。

图3-1 安天智甲告警界面

在GandCrab V2版本的攻击准备、磁盘遍历和文件加密等阶段,安天智甲均能够通过集成的多项能力做到及时感知并拦截,另外安天智甲还具有一定程度的文件备份与恢复能力,通过多种防护能力的叠加与组合,让用户可以在极大程度上防御诸如GandCrab等这类勒索病毒的攻击。

注:由于业内病毒命名规则各不相同,本告警中呈现的病毒名称是依托于安天病毒命名规则。

4 安天智甲简介

图4-1 安天智甲产品

图4-2 安天智甲管理中心

安天智甲是一款面向政府、军工、能源、金融、交通、电信等各行业用户的企业级防护产品,产品集成了病毒检测查杀、系统加固、主动防御、介质管控、文档保护、行为画像等功能,不仅能够对常规病毒进行防御,还能够对勒索软件、APT等新型威胁进行有效防御。

针对办公计算机、国产系统平台、工控上位机、虚拟化终端、移动终端等多种场景,安天智甲均具有不同的防护解决方案,为用户的系统和数据安全提供保障。

安天智甲还能有效与管理中心和安天态势感知产品互动,协助客户建立更全面的资产防护体系和风险认知能力,使态势感知能够有效落地。

1、安天智甲:更全面的场景应用——多场景支持、满足差异化需求

安天智甲不仅是一款终端防护产品,还能够以资产保障和威胁认知为视角,以形成有效的资产深度普查和端点画像为能力输出,并将数据同步至安天态势感知平台中,让用户对整个端点的资产一览无余。

2、安天智甲:更广阔的适配性——全面兼容国产化系统

3、安天智甲:更强大的功能——不仅仅是反病毒

4、安天智甲:更精准的威胁感知——3D可视化拓扑、感知全局态势

5 总结

GandCrab的开发者在C&C服务器被警方攻破后几天内便重新发布了新的V2版本,由此可以看出,GandCrab给其带来了相当丰厚的利益;但其勒索价格由1200美元降至400美元,可以猜测攻击者意图扩大受害面。GandCrab V2版本目前无法解密,仍然通过钓鱼邮件及漏洞工具包进行传播,安天建议用户打好相应漏洞补丁,不要随意打开邮件附件,并使用防护软件如安天智甲进行有效防护。