揭秘勒索界海王如何横扫中国

一、谁是勒索界当之无愧的海王？

2018年是一个勒索病毒高发的年度，可谓百（can）花（bu）争（ren）艳（du）,勒索家族变种、传播方式层出不穷，所谓你方唱罢我登台，直接把CHINA当作了屠宰场，年初宰到了年尾，明年估计形势会更不乐观。

但大家是否会好奇，勒索病毒这么多，到底哪一家“强”呢？

深信服EDR安全团队，综合了2018年一整年的数据（感染案例，实际数据会更多），得出这位最终的勒索届年度海王为：GandCrab勒索病毒，中文外号咸水国巨蟹。下图，是这只巨蟹横行过的区域，包括新疆、广东、安徽、青海、江西、福建、浙江、山西、吉林、贵州、天津、北京、上海、河北、山东、辽宁、江苏、四川等，基本覆盖大半个中国，以东部沿海最为严重。

GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族，该勒索病毒首次出现于2018年1月，在将近一年的时候内，经历了五个大版本的更新迭代，此勒索病毒的传播感染方式多种多样，使用的技术也不断升级，勒索病毒采用高强度加密算法，导致加密后的文件，大部分无法解密。

深信服EDR安全团队，跟踪分析此勒索病毒将近一年的时间内，发现该勒索病毒主要的传播方式，如下：

(1)RDP爆破

(2)发送垃圾邮件,附加恶意链接或邮件附件，通过Word宏等加载PowerShell下载

(3)感染相关网站，下载捆绑有恶意程序的更新程序或正常软件

(4)利用RigEK、GrandSoft、Fallout Exploit等漏洞利用 工具 包，通过无文件方式PowerShell、JS、VBS等脚本释放加载

(5)通过恶意下载器下载勒索病毒

(6)通过U盘感染

二、海王的继承人和新生儿

同时是海王又是蟹王的GandCrab，可谓子孙繁多，其中GandCrab5.0.4最为勇猛，喜欢横行霸道，绝大多数“城堡”都是这位王子打下的，已经成为GandCrab勒索家族的事实上的代表和继承人。

近日，GandCrab这只巨蟹又生了一个娃，叫GandCrab5.0.9，他的上个哥哥是GandCrab5.0.5，上上个哥哥是GandCrab5.0.4，上上上个哥哥是GandCrab5.0.3。

深信服EDR安全团队，作为国内第一家发现并“吃蟹”的团队，始终在第一时间进行了深入报道，参考如下：

下面，重点介绍下新生儿GandCrab5.0.9：病毒在运行之后，会弹出对话框，如下所示：

加密文件之后，桌面显示，如下所示：

加密后的文件，是随机10个字母的后缀名，如下所示：

相应的勒索信息，如下所示：

TOR勒索站点的信息，如下所示：

可以看到TOR勒索站点作者在右侧还提供了一个聊天窗体，可以跟黑客进行聊天通信

通过分析发现它与之前的GandCrab5.0.5基本无差异，如下所示：

入口函数，对比如下：

主功能函数，对比如下：

主功能函数代码段中，GandCrab5.0.5第一个功能函数是空的，如下所示：

在GandCrab5.0.9版本中，作者编写了弹框信息代码，如下所示：

弹出对话框，如下所示：

点击确认之后，执行后面的加密勒索流程，与之前的GandCrab5.0.5的流程一样，如下所示：

同时相应的版本号也发生了变化，对比如下：

此勒索病毒的作者在发布GandCrab5.0.9之后弹出了一个对话框，提示“他们”会很快回来的……

三、海王的家族变异史和传播方式

深信服EDR安全团队一直在研究跟进此勒索病毒，通过跟踪发现此勒索病毒，从2018年1月，在一年的时候内主要经历了五次大的版本变种，如下所示：

其中各大的版本之间又出现过些小的版本更新，比如V2.1版本，V4.3版等，特别是V5版之后，连续出现多个小版本的迭代，这些小版本的功能代码基本类似，例如V5.0.1、V5.0.2、V5.0.3、V5.0.4、V5.0.5，以及这次出现最新版本V5.0.9，可以相信未来黑客还会变种……

勒索界海王的主要的传播方式，如下：

(1)RDP爆破

(2)发送垃圾邮件,附加恶意链接或邮件附件，通过Word宏等加载PowerShell下载

(3)感染相关网站，下载捆绑有恶意程序的更新程序或正常软件

(4)利用RigEK、GrandSoft、Fallout Exploit等漏洞利用工具包，通过无文件方式PowerShell、JS、VBS等脚本释放加载

(5)通过恶意下载器下载勒索病毒

(6)通过U盘感染

但最为经典，使用面最广的，也是最为简单粗暴的，是RDP爆破，其经典传播模型：

1、RDP爆破入侵

黑客首先RDP爆破其中一台主机，成功获取到该主机的控制权后，上传黑客一整套工具，包括：进程管理工具、内网扫描工具、密码抓取工具、暴力破解工具以及勒索病毒体。由于其中某些工具容易被杀软查杀，因此黑客对其进行了加密压缩处理，压缩密码为“123”。

2、结束杀软进程

上传完工具后，黑客就开始“干活”了。首先是要解决掉杀毒软件，用进程管理工具“ProcessHacker”结束杀软进程。

3、内网扫描

然后，黑客试图“扩大战果”，控制更多的内网主机。使用内网扫描工具“KPortScan”、“nasp”、“NetworkShare”来发现更多潜在目标。

4、抓取密码

同时，使用“mimikatz”抓取本机密码，“WebBrowserPassView”抓取浏览器密码。由于内网中普遍存在密码相同的情况，因此抓到的密码很有可能能够直接登陆其他主机。

5、暴力破解

接下来就是使用“DUBrute”对内网主机进行RDP爆破。

6、运行勒索病毒

HW包含了勒索病毒体HW.5.0.2.exe以及一个文本文件HW.txt，HW.txt记录了用于无文件勒索的powershell命令。黑客可直接运行勒索病毒体或者执行powershell命令进行勒索。

四、如何防御和狙击海王？

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。

深信服提醒广大用户尽快做好病毒检测与防御措施，防范此次勒索攻击。

病毒防御

1、及时给主机打补丁，修复漏洞，升级最新病毒库。

2、对重要的数据文件定期进行非本地备份。

3、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

4、GandCrab勒索软件会利用RDP(远程桌面协议），如果业务上无需使用RDP的，建议关闭RDP。当出现此类事件时，推荐使用深信服防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散！

5、深信服防火墙、终端检测响应平台（EDR）均有防爆破功能，防火墙开启此功能并启用11080051、11080027、11080016规则，EDR开启防爆破功能可进行防御。

6、不明邮件不要随意点开，防止被钓鱼攻击。

7、不要从网上随意下载不明软件，此类软件极可能隐藏病毒。

8、U盘管控需做好，避免通过U盘进行交叉感染。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。