一,活动概述 最近,有自信心的安全团队接到了包括金融行业以外的好几家公司的反馈,他们的内部人员接到了异常的电子邮箱。
电子邮箱的发件人显示为“国家税务局”(信函汉语翻译为“国家税务局”),电子邮件地址为lijinho@cgov.us,致力于装扮成美政府特定的电子邮件地址政府.us,电子邮箱的内容是电子邮件的收货人。作为被上诉人的审理,详细信息载于所附文件: 附注归档包括两个文件,这些文件看上去像与实例相关的文档文件,尾缀为“.docx”。
见到这两个文件,我当时一定想到了“刻骨铭心起诉”的接受者,但我也不知道这正好深陷了犯罪嫌疑人的圈套当设置“撤销己知文件类型的扩展名”设置时,装扮成文本文档的两个文件显示其真实颜色。它们事实上是两个exe文件。
这两个文件的到底是谁事实上是GandCrab5.4勒索软件。 GandCrab保释金病毒感染是2018年保释金病毒感染家族中最活跃性的家族。
保释金病毒感染初次出现于2018年1月。近些年来,它经历了四次保释金病毒感染更新。有很多种不同的种类,所使用的技术也在不断升级。勒索软件主要使用RSA密匙加密技术,造成无法破译的加密文件。 GandCrab 1.1是GandCrab系列的最新版。最近,通过上传故意电子邮箱在某国发生了更多进攻。电子邮箱的内容通常令人生畏。如果收货人一不小心点击了电子邮箱附注,则会被敲诈勒索。我深信,提示用户打开模糊不清来源的电子邮件。
二,试品分析 1. GandCrab 1.1还使用代码混淆等技术来阻拦安全投资分析师按如下方式分析样版:
2.还搜集有关中毒了服务器的信息
3.获得GandCrab版本信息
4.建立一个互斥自变量
5.破译新的RSA密匙信息
6.从运行内存中破译相应的尾缀信息,以下尾缀文件夹名称,不数据加密,如图所示:
7.使用相应的尾缀名字加密文件
8.按如下如图设置相应的密匙注册表项:
设置完成后,它看上去像这样:
9.破译相应的勒索软件
4.除此之外,如果它在一些文件目录中,则不会数据加密,
11.勒索软件信息被载入勒索软件文本文档,
相应的勒索软件信息如下:
12.遍历数据加密的相应文件,如下如图:
13.加密文件是随机文件名后缀,以前在运行内存中破译
加密文件如下: 19.jpg 14.还与远程服务器通讯,地址与之前的GandCrab5.3相同
服务器地址:WWW.kakaocorp.link 5.敲诈勒索职责范围地址如下: .com://gandcrabmfe6mnef.onion/4cccd561a9e9938 通常情况下,GandCrab5.4和GandCrab5.3也没有很大的更新,基本要素相一致,加密技术也采用RSA + Salsa20组合加密技术,GandCrab黑道更新GandCrab5.4版主要是为了处理以前公布的破译工具。