对勒索病毒GandCrab5.1的一次成功应急响应（附解密工具+加密样本）

*本文原创作者：redwand，本文属 FreeBuf 原创奖励计划，未经许可禁止转载

正月十五元晚上，在家刚吃完元宵接到电话，朋友公司遭受勒索病毒攻击，数据库文件被加密，黑客通过暗网勒索 15000 美金赎金。一听勒索软件，顿时觉得头大，只好死马当活马医了，开始行动。先看下病毒在每个目录留下的 txt 文件 CVMKJ-DECRYPT.txt。 可以看到该病毒的名称及版本，GandCrab v5.1，一顿百度，了解到，之前已经有某安全厂商对此病毒进行了一系列分析，直接拿来主义，站在巨人肩膀上。病毒加密文件如下，已脱密处理：

经了解，该病毒为 GrandCrab 家族的最新变种，采用 RSA+AES 结合的加密算法，中毒后多目录下会保存一个名为 CVMKJ-DECRYPT.txt 的文件，且文件后缀.cvmkj 为随机字符，本案例中为.cvmkj。该入侵一般通过 rdp 弱口令爆破登陆，后通过 url 下载病毒，或通过手动投毒。为扩大战果，通过下载内网扫描工具，继续对内网进行爆破扫描。

回到本案例，查看日志，发现 windows envent log 服务被关闭，系统安全日志被整段删除，由 2015 年底一下跳到应急 2019 年 2 月 20 日。在一番 kill 相关进程后，windows envent log 重启成功，随后继续排查。

查看本地用户，发现 Administrators 组中多出一个名为 admin1 的管理员用户，命令 net user admin1，发现该用户为 Administrators 组成员，且最近登录时间为 2019 年 2 月 19 日 01:08，说明该服务器已经完全沦为黑客肉鸡。 继续排查，通过删除文件恢复，发现黑客曾经在 download 目录中下载了 NLBrute    1.2 工具，并且使用名为 passCina1.txt 的密码字典进行了内网爆破。通过询问管理员，发现管理员使用弱口令密码，更确信黑客通过 rdp 爆破入侵。随后使用 Process Monitor 对内存中的进程进行监控分析，未发现病毒样本，重新创建相关数据文件，重起服务器，未发现新文件被加密。经询问管理员得知，管理员在第一时间在进程管理中发现一个名为 process hack2 的进程，并将其删除。   

正当焦头烂额，无计可施之际，上海安服朋友群内推送一篇文章，国外大牛于 2019 年 2 月 19 日刚发布了 GandCrab v5.1 解密工具 ，但还无人测试成功，本着死马当活马医的态度，下载测试之。

接下来，就发生了见证奇迹的时刻，一条条 ok 记录出现在软件输出栏内，再去对应路径查看文件，真的解密成功了！上面为 20190204 文件被加密源文件，类型 CVMKJ，下面为 20190220 解密后得到 office 文件。

最后，本着开源精神，公布 工具 下载链接，由于在 fb 编辑器上未找到附件上传，需要样本的可以联系我，我将提供下图中的 client.log 作为测试样本。