近日，GandCrab勒索家族變種GandCrab5.2持續活躍，感染面大。與此同時，深信服捕獲到了最新變種GandCrab5.3。雖然GndCrab5.3變種似乎是測試版本，可能處在開發編譯階段，尚未出現大規模感染現象。但不排除未來作者開發出成熟版的GandCrab5.3，并用于實際攻擊中，故仍然不能放松警惕，深信服也會持續追蹤此病毒最新進展。

GandCrab勒索病毒描述

GandCrab勒索病毒首次出現于2018年1月，在將近一年多的時間內，經歷了五個大版本的更新迭代。此勒索病毒的傳播感染方式多種多樣，使用的技術也不斷升級。

勒索病毒主要使用RSA密鑰加密算法，導致加密后的文件無法被解密。但在2019年2月，國外某安全公司拿到了相應的密鑰，并放出解密工具。鏈接：https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/?from=timeline&isappinstalled=0

一時間，GandCrab5.1及早期版本的“俠盜”病毒多數都能被解密。這極大刺激了黑客，開發出GandCrab5.2等更新版本，也就是說，GandCrab5.2及以后版本暫時不能解密。黑客團體也必然會用GandCrab5.2及更新版本去實施攻擊，對用戶造成重大安全威脅。

GandCrab勒索病毒感染面分析

GandCrab勒索病毒（含GandCrab5.2）感染過的區域，包括新疆、廣東、湖南、安徽、青海、江西、福建、浙江、山西、吉林、貴州、天津、北京、上海、河北、山東、遼寧、江蘇、四川等，基本覆蓋大半個中國，以東部沿海最為嚴重。且GandCrab勒索病毒有十分明顯的指向性，主要攻擊醫院、政府、國企等機構，其中醫院堪稱重災區。

國內各行業受GandCrab勒索病毒影響的比例

醫療行業、司法行政機構、制造業受勒索威脅最大，未來仍然會持續這一趨勢，重點提醒下此類行業或者單位注意防范。不僅中國，東南亞及歐美等眾多國家，也深受“俠盜”病毒的毒害，歐洲多國警方也一直在嘗試追蹤并破壞其控制服務器。

GandCrab勒索病毒傳播方式分析

深信服安全團隊，跟蹤分析此勒索病毒將近一年多的時間內，分析其該勒索病毒主要的傳播方式如下：

GandCrab勒索病毒主要的傳播方式

1.RDP爆破，近期也有通過VNC爆破傳播；

2. 發送垃圾郵件，附加惡意鏈接或郵件附件，通過Word宏等加載PowerShell下載；

3. 感染相關網站，下載捆綁有惡意程序的更新程序或正常軟件；

4. 利用RigEK、GrandSoft、Fallout Exploit等漏洞利用工具包，通過無文件方式PowerShell、JS、VBS等腳本釋放加載，近期也有發現通過Weblogic漏洞、NexusRepository Manager 3遠程代碼執行漏洞（CVE-2019-7238）、WinRar漏洞等方式傳播傳播；

5. 通過惡意下載器下載勒索病毒；

6. 通過U盤感染等。

近期，深信服安全團隊接連接到多家企業反饋，在其內部員工收到可疑郵件中發現通過郵件附件傳播的GandCrab5.2。郵件內容會有不同版本。比如下圖所示，郵件發件人顯示為“National Tax Service”（譯為“國家稅務局”），郵箱地址為lijinho@cgov.us，企圖偽裝成美國政府專用的郵箱地址gov.us，郵件內容為傳訊收件人作為被告接受審訊，詳細內容在附件文檔中引導下載：

其中，所有傳播方式中最為經典使用面最廣的，也是最為簡單粗暴的，是RDP爆破。其經典傳播模型如下所示：

1.RDP爆破入侵：黑客首先RDP爆破其中一臺主機，成功獲取到該主機的控制權后，上傳黑客一整套工具，包括：進程管理工具、內網掃描工具、密碼抓取工具、暴力破解工具以及勒索病毒體。由于其中某些工具容易被殺軟查殺，因此黑客對其進行了加密壓縮處理，壓縮密碼為“123”。

2. 結束殺軟進程：上傳完工具后，黑客開始應對殺毒軟件，用進程管理工具“ProcessHacker”結束殺軟進程。

3. 內網掃描：結束殺軟進程后，黑客試圖控制更多內網主機。使用內網掃描工具“KPortScan”、“nasp”、“NetworkShare”來發現更多潛在目標。

4. 抓取密碼：同時，使用“mimikatz”抓取本機密碼，“WebBrowserPassView”抓取瀏覽器密碼。由于內網中普遍存在密碼相同的情況，因此抓到的密碼很有可能能夠直接登陸其他主機。

5. 暴力破解：使用“DUBrute”對內網主機進行RDP爆破。

6. 運行勒索病毒：HW包含了勒索病毒體HW.5.0.2.exe以及一個文本文件HW.txt，HW.txt記錄了用于無文件勒索的PowerShell命令。黑客可直接運行勒索病毒體或者執行PowerShell命令進行勒索。

GandCrab勒索病毒的演變和趨勢

深信服安全團隊一直在研究跟進此勒索病毒，通過跟蹤發現此勒索病毒從2018年1月起，在一年內主要經歷了五次大的版本變種，如下所示：

其中各大版本之間出現過小版本更新，比如V1、V2.1版本，V4.3版等，特別是V5版之后連續出現多個小版本的迭代。這些小版本的功能代碼基本類似，例如V5.0.1、V5.0.2、V5.0.3、V5.0.4、V5.0.5，以及2019年最新版本V5.1.6、V5.2、V5.3，相信未來黑客還會編譯出更多變種。

可以看到，GandCrab勒索病毒也是所有勒索家族中，版本更新迭代最快最多的家族，未來將會延續這一趨勢。并且觀察到，后期版本正不斷融合前期版本的攻擊手法，新版本的GandCrab勒索逐漸走向產業化和成熟，成為勒索家族中典型而不容小視的一股力量。

值得一提的是，在交贖金方面上，GandCrab勒索病毒也是頗有“新意”，其最新的家族變種已采用TOR站點聊天協商的方式，如下所示：

可以看到TOR勒索站點作者在右側還提供了一個聊天窗體，可以跟黑客直接進行聊天通信，以協商具體的贖金，方便快捷又保密。

但最新的GandCrab5.3又有所不同，攻擊者將暗網繳納贖金方式改為通過郵件聯系繳納贖金，應該與歐洲多國警方合作追蹤其暗網服務器有關系（服務器上有解密密鑰）。

GandCrab5.3勒索信息中增加了一個郵箱地址 jokeroo@protonmail.com，如下所示：

從追蹤GandCrab勒索家族中，可以總結和延申出如下結論和趨勢：

• 趨勢一：黑客炫技、惡搞、破壞已經不是主流，獲取經濟利益（暴利）成為勒索事件頻發的源動力。可以從勒索病毒熱度不減就看出。勒索一個對象，動輒十萬、幾十萬的贖金。
• 趨勢二：黑客入侵手段、病毒攻擊呈現多樣化趨勢。直白的講，就是利益驅動了黑產的大發展，每個黑客團體都有自己的攻擊套路，會開發各自的病毒變種，會嘗試更多更隱蔽的攻擊手段。譬如，國內外現存的勒索家族就達上百種，一個家族又可以衍生出不同的變種。
• 趨勢三：影響面向縱深發展，不單單是個人或者某個企業受到影響，基本上，各行各業都有被滲透的跡象。另外，黑客為了最大范圍的獲取經濟利益，提高交贖金的概率，從以往的廣撒網，已經逐步轉向定向攻擊，且多數目標集中在企業內部的重要服務器，而不是普通主機。

GandCrab勒索病毒的防御與查殺

針對已經出現GandCrab勒索病毒中招的用戶，建議盡快對感染主機進行斷網隔離。且還需在事前事中或事后積極采取如下綜合性措施：

1. 及時給所有主機打補丁，修復漏洞，升級最新病毒庫。

2. 對重要的數據文件定期進行非本地備份。

3. 更改賬戶密碼，設置強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。

4. GandCrab勒索軟件會利用RDP(遠程桌面協議），如果業務上無需使用RDP，建議關閉RDP，防止擴散。

5. 不要隨意點開不明郵件，防止被釣魚攻擊。

6. 不要從網上隨意下載不明軟件，此類軟件極可能隱藏病毒。

7. 做好U盤管控，避免通過U盤進行交叉感染。

8. 定期殺毒。

最后，建議企業對全網進行一次安全檢查和殺毒掃描，加強防護工作。推薦使用深信服云網端綜合解決方案，通過安全感知平臺+下一代防火墻+終端檢測響應平臺，輔以云端安全能力中心深信安全云腦，實現對內網的全面感知、查殺和防護。