【小心】“侠盗”勒索病毒V5.3新变种周全剖析

宣布时间 2019-04-25

1、概述

克日，优发国际网站官网ADLab捕获到了“侠盗”病毒最新变种，该病毒的版本号为V5.3，编译时间为4月14日，距离其上一个版本V5.2在中国肆虐仅仅一个多月。“侠盗”V5.2最先肆虐中国的时间为3月11日，并已熏染了我国上千台政府、企业和相关科研机构的盘算机。湖北省宜昌市夷陵区政府、中国科学院金属研究所、云南师范大学以及大连市公安局等机构均在其官网宣布了提防病毒攻击的通告。

“侠盗”病毒的第一个版本降生于2018年1月，现在为止，已经更新迭代了5个大的版本、20几个小版本。其主要目的是通过加密受害用户的盘算机文件来对受害用户举行勒索。“GandCrab”勒索病毒之以是被人称为“侠盗”，是由于其一经“人性地”为无力支付“赎金”的叙利亚父亲解密了其在战争中丧生的儿子的照片，并放出了部分叙利亚地区之前版本的解密密钥，还将叙利亚以及其他战乱地区加进熏染区域“白名单”。

“侠盗”会将用户文件加密后添加上勒索后缀名，然后再替换熏染系统的桌面为勒索图片，勒索图片上的文字提醒受害用户阅读其勒索手册文本文件,在勒索手册文本文件中进一步指导受害用户赎回用户文件。在5.2之前的版本中，勒索手册文件指导受害用户通过Tor网络赎回文件，赎金支持达世币和比特币支付；而在最新的5.3版本中，勒索手册中只给出了黑客的邮箱，要求受害者邮件联系他们，除了这一点转变，“侠盗”5.3还更新了黑客公钥。现在尚不清晰Gandcrab5.3勒索病毒可能会要求解密者支付几多钱，但之前的版本要求在比特币或达世币上支付500美元至4000美元不等。

2、病毒撒播

“侠盗”病毒撒播途径主要有RDP、VNC途径举行暴力破解和入侵、定向鱼叉垂纶邮件投放、捆绑恶意软件和网页挂马攻击、僵尸网络以及误差使用撒播等。

现在在暗网中，“侠盗”幕后团队接纳“勒索即服务”（“ransomware as-a-service” ）的方法，向黑客放纵售卖V5.3版本病毒，即由“侠盗”团队提供病毒，黑客在全球选择目的举行攻击勒索，攻击乐成后 “侠盗”团队再从中抽取30%-40%的利润。“垃圾邮件制造者们，你们现在可以与网络专家举行相助，不要错失获取优美生涯的门票，我们在等你。”是“侠盗”团队在暗网中打出的“招商广告”。

“侠盗”是现在第一个勒索达世币的勒索病毒，厥后才加了比特币，要价500美元至4000美元不等。据“侠盗”团队2018年12月宣布的数据，其总计收入比特币以及达世币合计已高达285万美元。

3、破解历史

像大部分勒索文件一样，“侠盗”使用了RSA加密算法，除非拿到黑客持有的RSA-2048私钥，才华够对熏染文件举行解密，不然无法解密。

由于“侠盗”事务，攻击者放出了勒索病毒部分早期版本的解密密钥，多个清静厂商随后相继宣布相识密工具。从18年10月到今年2月，Bitdefender先后宣布了“侠盗”多个版本的解密工具，最新的解密工具下载地点为：https://labs.bitdefender.com/wp-content/uploads/downloads/gandcrab-removal-tool-v1-v4-v5/，该工具可以解密的版本如表1所示。其解密原理是通过在线向Bitdefender服务器提交加密ID，来获取可用的解密私钥（ RSA-2048）来举行解密。用户可以凭证表中的加密文件后缀或勒索说明文本文件的最先来核对病毒版本。

区域标记符	语言（国家）
0x419	俄语（俄罗斯）
0x422	乌克兰语（乌克兰）
0x423	白俄罗斯语（白俄罗斯）
0x428	塔吉克
0x42B	亚美尼亚语（亚美尼亚）
0x42C	阿泽里语（阿塞拜疆，拉丁语）
0x437	格鲁吉亚语（格鲁吉亚）
0x43F	哈萨克语（哈萨克斯坦）
0x440	吉尔吉斯语（吉尔吉斯坦）
0x442	土库曼
0x443	乌兹别克语（乌兹别克斯坦，拉丁语）
0x444	鞑靼语（俄罗斯）
0x818	罗马尼亚语（摩尔多瓦地区）
0x819	俄语（摩尔多瓦地区）
0x82C	阿泽里语（阿塞拜疆，西里尔语）
0x843	乌兹别克语（乌兹别克斯坦，西里尔语）
0x45A	叙利亚语（叙利亚）
0x2801	阿拉伯语（叙利亚）

表2 扫除的语言（国家）

5.2 终止清静软件

“侠盗”遍历熏染装备系统历程，若是发明熏染装备有运行卡巴斯基、诺顿等清静软件，就强制竣事掉目的历程，避免自己被杀毒软件查杀。相关的清静软件如下图4所示。

优发国际·随优而动一触即发

图4 相关清静软件历程

5.3 终止特定程序

“侠盗”会遍历熏染装备系统目今历程列表，若是匹配到指定的历程则竣事该历程，以避免遗遗漏因用户文件被占用而不可被加密的用户文件。如Word、Excel、PowerPoint、Onenote、Visio、Oracle、SQLserver、MySQL等常见应用历程，详细目的历程如图5所示：

优发国际·随优而动一触即发

图5 终止的目的历程

5.4 确定加密文件类型

5.4.1 文件后缀白名单

为了扫除掉没有价值的勒索数据文件，“侠盗”内置了一份文件后缀白名单，如图6所示。我们将其列到表3中，其中包括的文件有可执行文件、系统动态挪用库文件、系统驱动文件和“侠盗”相关的文件等。

优发国际·随优而动一触即发

图6 不加密的文件类型

白名单路径

"\\ProgramData\\"

"\\IETldCache\\"

"\\Boot\\"

"\\Program Files\\"

"\\Tor Browser\\"

"\\All Users\\"

"\\Local Settings\\"

"\\Windows\\"

表4 系统目录白名单

表5中的系统文件也不在加密目的之列：

加密的文件后缀

.1st .602 .docb .xlm .xlsx .xlsm .xltx .xltm .xlsb .xla .xlam .xll .xlw .ppt .pot .pps .pptx .pptm

.potx .potm .ppam .ppsx .ppsm .sldx .sldm .xps .xls .xlt ._doc .dotm ._docx .abw .act .adoc .aim

.ans .apkg .apt .asc .asc .ascii .ase .aty .awp .awt .aww .bad .bbs .bdp .bdr .bean .bib .bib .bibtex

.bml .bna .boc .brx .btd .bzabw .calca .charset .chart .chord .cnm .cod .crwl .cws .cyi .dca .dfti

.dgs .diz .dne .dot .doc .docm .dotx .docx .docxml .docz .dox .dropbox .dsc .dvi .dwd .dx .dxb .dxp

.eio .eit .emf .eml .emlx .emulecollection .epp .err .err .etf .etx .euc .fadein.template .faq .fbl

.fcf .fdf .fdr .fds .fdt .fdx .fdxt .fft .fgs .flr .fodt .fountain .fpt .frt .fwd .fwdn .gmd .gpd

.gpn .gsd .gthr .gv .hbk .hht .hs .hwp .hwp .hz .idx .iil .ipf .ipspot .jarvis .jis .jnp .joe .jp1

.jrtf .jtd .kes .klg .klg .knt .kon .kwd .latex .lbt .lis .lnt .log .lp2 .lst .lst .ltr .ltx .lue

.luf .lwp .lxfml .lyt .lyx .man .mbox .mcw .md5 .me .mell .mellel .min .mnt .msg .mw .mwd .mwp

.nb .ndoc .nfo .ngloss .njx .note .notes .now .nwctxt .nwm .nwp .ocr .odif .odm .odo .odt .ofl .opeico

.openbsd .ort .ott .p7s .pages .pages-tef .pdpcmd .pfx .pjt .plain .plantuml .pmo .prt .prt .psw .pu

.pvj .pvm .pwd .pwdp .pwdpl .pwi .pwr .qdl .qpf .rad .readme .rft .ris .rpt .rst .rtd .rtf .rtfd .rtx

.run .rvf .rzk .rzn .saf .safetext .sam .sam .save .scc .scm .scriv .scrivx .sct .scw .sdm .sdoc .sdw

.se .session .sgm .sig .skcard .sla .sla.gz .smf .sms .ssa .story .strings .stw .sty .sublime-project

.sublime-workspace .sxg .sxw .tab .tab .tdf .tdf .template .tex .text .textclipping .thp .tlb .tm .tmd

.tmdx .tmv .tmvx .tpc .trelby .tvj .txt .u3i .unauth .unx .uof .uot .upd .utf8 .utxt .vct .vnt .vw

.wbk .webdoc .wn .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpd .wpd .wpd .wpl .wps .wps .wpt .wpt .wpw

.wri .wsd .wtt .wtx .xbdoc .xbplate .xdl .xdl .xwp .xwp .xwp .xy .xy3 .xyp .xyw .zabw .zrtf .zw.rar

.zip .cab .arj .lzh .tar .7z .gzip .iso .z .7-zip .lzma .vmx .vmdk .vmem .vdi .vbo

表6 加密的文件后缀

5.5 加密用户文件

“侠盗”会遍历熏染装备共享目录和外地磁盘。接纳RSA-2048+Salsa20算法加密熏染装备文件。
加密共享目录下的文件如图8所示：

优发国际·随优而动一触即发

图8 加密共享目录下的文件

加密外地磁盘目录下文件如图9所示：

优发国际·随优而动一触即发

图9 加密外地磁盘目录下文件

5.6 天生MANUAL文件

“侠盗”先将勒索信息解密到内存中，在举行版本和后缀信息拼接后，将整个勒索信息写入MANUAL文件中，如图10和图11所示：

优发国际·随优而动一触即发

图10 建设MANUAL文件，写入勒索信息

优发国际·随优而动一触即发

图11 解密到内存中的勒索信息

最终的MANUAL文件由勒索信息、加密后的私钥信息和加密后的熏染装备信息组成。其中黑客特意强调受害用户不要修改私钥信息内容，由于一旦私钥信息一旦被改变，就无法对文件举行解密。

5.7 替换熏染装备桌面

建设勒索桌面壁纸到“C:\Documents and Settings\[username]\LocalSettings\Temp\bxmeoengtf.bmp”,如图12所示：

优发国际·随优而动一触即发

图12 建设勒索图片，设置勒索桌面

图13中，勒索图片上写有“YOURFILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOUMUST BUY DECRYPTOR，For further stepsread %s-DECRYPT.%s that is located in every encrypted folder”，提醒熏染用户阅读Manual文件支付赎金。

优发国际·随优而动一触即发

图13 勒索壁纸

5.8 删除卷影拷贝

“侠盗”会删除熏染盘算机卷影副本，这是勒索病毒的通例操作，这样做的目的是避免受害用户通过Windows Recovery对文件举行恢复，如图14。

优发国际·随优而动一触即发

图14 删除卷影副本

如图15，“侠盗”挪用“shell32.ShellExecuteW”执行下令“/c vssadmin delete shadows /all /quiet”

优发国际·随优而动一触即发

图15 执行删除下令

5.9 毗连C&C

“侠盗”会会见指定域名的80和443端口，“侠盗”在毗连黑客控制的远程服务器（如http://www.kakaocorp.link）乐成后，向远程服务器发送熏染装备信息，如图16。

优发国际·随优而动一触即发

图16 向远程服务器发送熏染装备信息

其中，rc4key为".oj=294~!z3)9n-1,8^)o((q22)lb$"
strPCdata生涯在”*-MANUAL.txt”文件中（*体现大写的加密文件后缀名），见图18：

优发国际·随优而动一触即发

图18 Base64存储的PC相关密文信息

由于C&C失效，所有我们没有抓到发送发送strPCdata的数据包。

6.2 解密pubkey

“侠盗”先天生64字节约input3（由Salsakey3（牢靠字节）和IV3（牢靠字节）和常量组成），如图19:

优发国际·随优而动一触即发

图19 天生的input3

“侠盗”在使用Salsa20算法解密黑客的RSA2048公钥，我们将公钥密文记为pubkeyEncrypted，将解密后的公钥记为hackerPubkey，算法如下：

hackerPubkey= Salse20(input3, pubkeyEncrypted)

hackerPubkeyEncrypted见图20：

优发国际·随优而动一触即发

图20 解密前的hackerPubkey

解密获得hackerPubkey见图21，比照“侠盗”5.2的黑客公钥（图22），我们发明在5.3版本中黑客更新了其持有的公钥。

优发国际·随优而动一触即发

图21 GandCrab5.3解密后的公钥

优发国际·随优而动一触即发

图22 GandCrab5.2 黑客公钥

6.3 外地天生RSA公私玥对

黑客使用微软“advapi32”库函数外地天生RSA-2048公私玥对，我们划分记为locPubkey和locPrikey，针对每个熏染者外地公私玥对只天生一次。其中，locPubkey用于加密SalsaFileKey和IV2，而locPrikey使用Salsa20算法加密后最终生涯到外地。

locPubkey（0x114字节）见图23:

优发国际·随优而动一触即发

图23 内存中的locPubkey

locPrikey（0x494字节）见下图24：

优发国际·随优而动一触即发

图24 内存中的locPrikey

6.4 加密外地私钥

“侠盗”首先天生SalsaKey(32字节随机数)和IV1（8字节随机数），再和常量一起天生64字节输入流，我们记为input1，然后，“侠盗”使用Salsa20算法加密locPrikey，算法如下：

data3 = Salsa20(input1,locPrikey)

SalsaKey(32字节随机数)和IV1（8字节随机数）划分被黑客的公钥加密，如下:

data1= RSA2048(hackerPubkey, SalsaKey)

data2 = RSA2048(hackerPubkey, IV1)

最后，“侠盗”将“data1”、“data2”、“data3”base64加密后生涯在外地，如下(其中0x00000494为locPrikey长度)：

gandcrabKey=base64encode(0x00000494+ data1+ data2+ data3)

生涯在“****-MANUAL.txt”文件中，如图25：

优发国际·随优而动一触即发

图25 Base64存储的外地RSA-2048私钥密文信息

6.5 加密熏染者文件

“侠盗”第一步天生SalsaFileKey（32字节随机数）、IV2（8字节随机数）以及常量天生的64字节输入流，我们记为input2，input2针对每一个用户文件都唯一天生，然后“侠盗”使用Salsa20算法加密用户文件，算法如下：

data4 = Salsa20(input2,userFile)

第二步用外地公钥locPubkey加密SalsaFileKey（32字节随机数）和IV2（8字节随机数），算法如下：

data5 = RSA2048(locPubkey, SalsaFileKey)

data6 = RSA2048(locPubkey, IV2)

最后，“侠盗”将“data4”、“data5”、“data6”和牢靠的字节拼接成加密文件，如下(其中lenUserFile为用户原始文件巨细)：

finalFile=data4 +data5+data6+lenUserFile+牢靠字节

加密后的文件结构如图26：

优发国际·随优而动一触即发

图26 加密的文件结构

7.总结与建议

由于大部分勒索病毒加密后的文件都无法解密，以是应对勒索病毒以预防和备份为主。建议用户做好一样平常的提防步伐：

实时更新操作系统，实时给盘算机打补丁。
对主要的数据文件要举行异地备份。
只管关闭不须要的文件共享，或把共享磁盘设置为只读属性，不允许局域网用户改写文件。
只管关闭不须要的服务和端口。如：135，139，445端口，关于远程桌面服务（3389），VNC服务需要举行白名单设置，仅允许白名单内的IP上岸。
接纳不少于10位的高强度密码，并按期替换密码，通过windows组战略设置账户锁定战略，对短时间内一连上岸失败的账户举行锁定。
装置具备自�；すπУ姆啦《救砑�，并实时更新病毒库或软件版本。
增强员工清静意识培训，禁止易翻开生疏邮件或运行泉源不明的程序，切断勒索病毒的邮件撒播方法。

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究

【小心】“侠盗”勒索病毒V5.3新变种周全剖析

关于优发国际网站官网

解决计划

清静研究

联系优发国际网站官网

服务热线