黑客利用GandCrab5.2勒索病毒伪装国家机关发送钓鱼邮件进行攻击

一、事件概述近日,深信服安全团队接到包括金融行业在内的多家企业反馈,其内部员工收到可疑邮件。邮件发件人显示为“National Tax Service”(译为“国家税务局”),邮箱地址为lijinho…

一,活动概述 最近,有自信心的安全团队接到了包括金融行业以外的好几家公司的反馈,他们的内部人员接到了异常的电子邮箱。

电子邮箱的发件人显示为“国家税务局”(信函汉语翻译为“国家税务局”),电子邮件地址为lijinho@cgov.us,致力于装扮成美政府特定的电子邮件地址政府.us,电子邮箱的内容是电子邮件的收货人。作为被上诉人的审理,详细信息载于所附文件: 附注归档包括两个文件,这些文件看上去像与实例相关的文档文件,尾缀为“.docx”。

见到这两个文件,我当时一定想到了“刻骨铭心起诉”的接受者,但我也不知道这正好深陷了犯罪嫌疑人的圈套当设置“撤销己知文件类型的扩展名”设置时,装扮成文本文档的两个文件显示其真实颜色。它们事实上是两个exe文件。

这两个文件的到底是谁事实上是GandCrab5.4勒索软件。 GandCrab保释金病毒感染是2018年保释金病毒感染家族中最活跃性的家族。

保释金病毒感染初次出现于2018年1月。近些年来,它经历了四次保释金病毒感染更新。有很多种不同的种类,所使用的技术也在不断升级。勒索软件主要使用RSA密匙加密技术,造成无法破译的加密文件。 GandCrab 1.1是GandCrab系列的最新版。最近,通过上传故意电子邮箱在某国发生了更多进攻。电子邮箱的内容通常令人生畏。如果收货人一不小心点击了电子邮箱附注,则会被敲诈勒索。我深信,提示用户打开模糊不清来源的电子邮件。  

二,试品分析 1. GandCrab 1.1还使用代码混淆等技术来阻拦安全投资分析师按如下方式分析样版:

 2.还搜集有关中毒了服务器的信息

 3.获得GandCrab版本信息

4.建立一个互斥自变量

5.破译新的RSA密匙信息

6.从运行内存中破译相应的尾缀信息,以下尾缀文件夹名称,不数据加密,如图所示:

 7.使用相应的尾缀名字加密文件

8.按如下如图设置相应的密匙注册表项:

 设置完成后,它看上去像这样:

9.破译相应的勒索软件

4.除此之外,如果它在一些文件目录中,则不会数据加密,

11.勒索软件信息被载入勒索软件文本文档,

相应的勒索软件信息如下:

12.遍历数据加密的相应文件,如下如图:

13.加密文件是随机文件名后缀,以前在运行内存中破译

加密文件如下: 19.jpg  14.还与远程服务器通讯,地址与之前的GandCrab5.3相同

服务器地址:WWW.kakaocorp.link 5.敲诈勒索职责范围地址如下: .com://gandcrabmfe6mnef.onion/4cccd561a9e9938 通常情况下,GandCrab5.4和GandCrab5.3也没有很大的更新,基本要素相一致,加密技术也采用RSA + Salsa20组合加密技术,GandCrab黑道更新GandCrab5.4版主要是为了处理以前公布的破译工具。

第三,解决方法 对于已经使用勒索软件的用户,建议尽早防护受感染的服务器,因为没有破译工具。深信,提示用户尽早做好病毒检测和防御力对策,防止病毒感染家族的勒索软件进攻。 病毒检测和杀毒 1,深信为广大用户提供免费杀毒工具,可以下载以下工具进行检测和杀毒。 
32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X64.2z 32位系统下载地址: .com://edr.sangfor.Com.Cn/tool/SfabAntiBot_X86.2z   
2.深信EDR产品和服务器防火墙以及其他网络安全产品具有病毒检测功能。布署相关产品的用户可以执行病毒检测,
如下图所示:   病毒感染防御力 深信安全团队再度提示广大用户,勒索软件以防止主要,大部分文件在敲诈勒索软件加密后无法破译,注意日常防范措施:
1.及时修复电子计算机以修复漏洞。
2.定期执行重要数据文件的非当地备份文件。
3.切勿点击来源于不明来源的电子邮箱附注,也不要从不明网站下载应用。
4.试着关闭不必要的文件共享管理权限。
5.变更账号登陆密码,设置强登陆密码,并避免使用统一登陆密码,因为统一登陆密码会造成密码泄露,多个登陆密码遭到损失。
6.如果服务不用RDP,建议关闭RDP。当发生该类事件时,建议使用深度令人信服的服务器防火墙,或终端设备防护响应平台(EDR)微防护功能来阻拦3389等端口号以防止外扩散!
7.深信服务器防火墙和终端设备检测与响应平台(EDR)具有防爆型功能。服务器防火墙开启此功能并开启11080051,11080027,11080016标准和EDR打开防爆型功能来防御力。
8,说动服务器防火墙的客户,建议升级到AF805版本号,并打开人工智能技术模块Save以提高防御力效果。
9.使用深度令人信服的网络安全产品浏览安全的云人的大脑,并使用云检查服务实时检测新的威协。  
最后,建议企业对整个网络进行安全大检查和反病毒扫描仪,以提升保护。建议使用Deep Confidence Security Awareness + Firewall + EDR来检测,停止和保护内部网络。