【警惕】“侠盗”勒索病毒V5.3新变种全面分解

颁布功夫 2019-04-25

1、概述

近日，GA黄金甲ADLab捕获到了“侠盗”病毒最新变种，该病毒的版本号为V5.3，编译功夫为4月14日，距离其上一个版本V5.2在中国肆虐仅仅一个多月。“侠盗”V5.2起头肆虐中国的功夫为3月11日，并已习染了我国上千台当局、企业和有关科研机构的推算机。湖北省宜昌市夷陵区当局、中国科学院金属钻研所、云南师范大学以及大连市公安局等机构均在其官网颁布了防备病毒攻击的布告。

“侠盗”病毒的第一个版本诞生于2018年1月，目前为止，已经更新迭代了5个大的版本、20几个幼版本。其重要主张是通过加密受害用户的推算机文件来对受害用户进行勒索。“GandCrab”勒索病毒之所以被人称为“侠盗”，是由于其已经“人路地”为无力支付“赎金”的叙利亚父亲解密了其在战争中丧生的儿子的照片，并放出了部门叙利亚地域之前版本的解密密钥，还将叙利亚以及其他战乱地域加进习染区域“白名单”。

“侠盗”会将用户文件加密后增长上勒索后缀名，而后再更换习染系统的桌面为勒索图片，勒索图片上的文字提醒受害用户阅读其勒索手册文本文件,在勒索手册文本文件中进一步疏导受害用户赎回用户文件。在5.2之前的版本中，勒索手册文件疏导受害用户通过Tor网络赎回文件，赎金支持达世币和比特币支付；而在最新的5.3版本中，勒索手册中只给出了黑客的邮箱，要求受害者邮件联系他们，除了这一点变动，“侠盗”5.3还更新了黑客公钥。目前尚不明显Gandcrab5.3勒索病毒可能会要求解密者支付几多钱，但之前的版本要求在比特币或达世币上支付500美元至4000美元不等。

2、病毒传布

“侠盗”病毒传布蹊径重要有RDP、VNC蹊径进行暴力破解和入侵、定向鱼叉垂钓邮件投放、绑缚恶意软件和网页挂马攻击、僵尸网络以及缝隙利用传布等。

目前在暗网中，“侠盗”幕后团队选取“勒索即服务”（“ransomware as-a-service” ）的方式，向黑客大举售卖V5.3版本病毒，即由“侠盗”团队提供病毒，黑客在全球选择指标进行攻击勒索，攻击成功后 “侠盗”团队再从中抽取30%-40%的利润。“垃圾邮件造作者们，你们此刻能够与网络专家进行合作，不要错失获取美好生涯的门票，我们在等你。”是“侠盗”团队在暗网中打出的“招商告白”。

“侠盗”是目前第一个勒索达世币的勒索病毒，后来才加了比特币，要价500美元至4000美元不等。据“侠盗”团队2018年12月颁布的数据，其总计收入比特币以及达世币计算已高达285万美元。

3、破解汗青

像大部门勒索文件一样，“侠盗”使用了RSA加密算法，除非拿到黑客持有的RSA-2048私钥，才可能对习染文件进行解密，不然无法解密。

由于“侠盗”事务，攻击者放出了勒索病毒部门早期版本的解密密钥，多个安全厂商随表态继颁布相始工具。从18年10月到今年2月，Bitdefender先后颁布了“侠盗”多个版本的解密工具，最新的解密工具下载地址为：https://labs.bitdefender.com/wp-content/uploads/downloads/gandcrab-removal-tool-v1-v4-v5/，该工具能够解密的版本如表1所示。其解密道理是通过在线向Bitdefender服务器提交加密ID，来获取可用的解密私钥（ RSA-2048）来进行解密。用户能够凭据表中的加密文件后缀或勒索注明文本文件的起头来查对病毒版本。

区域标志符	说话（国度）
0x419	俄语（俄罗斯）
0x422	乌克兰语（乌克兰）
0x423	白俄罗斯语（白俄罗斯）
0x428	塔吉克
0x42B	亚美尼亚语（亚美尼亚）
0x42C	阿泽里语（阿塞拜疆，拉丁语）
0x437	格鲁吉亚语（格鲁吉亚）
0x43F	哈萨克语（哈萨克斯坦）
0x440	吉尔吉斯语（吉尔吉斯坦）
0x442	土库曼
0x443	乌兹别克语（乌兹别克斯坦，拉丁语）
0x444	鞑靼语（俄罗斯）
0x818	罗马尼亚语（摩尔多瓦地域）
0x819	俄语（摩尔多瓦地域）
0x82C	阿泽里语（阿塞拜疆，西里尔语）
0x843	乌兹别克语（乌兹别克斯坦，西里尔语）
0x45A	叙利亚语（叙利亚）
0x2801	阿拉伯语（叙利亚）

表2 排除的说话（国度）

5.2 终止安全软件

“侠盗”遍历习染设备系统过程，若是发现习染设备有运行卡巴斯基、诺顿等安全软件，就强造实现掉指标过程，预防自己被杀毒软件查杀。有关的安全软件如下图4所示。

GA黄金甲·(中国区)官方网站

图4 有关安全软件过程

5.3 终止特定法式

“侠盗”会遍历习染设备系统当前过程列表，若是匹配到指定的过程则实现该过程，以预防遗漏掉因用户文件被占用而不能被加密的用户文件。如Word、Excel、PowerPoint、Onenote、Visio、Oracle、SQLserver、MySQL等常见利用过程，具体指标过程如图5所示：

GA黄金甲·(中国区)官方网站

图5 终止的指标过程

5.4 确定加密文件类型

5.4.1 文件后缀白名单

为了排除掉没有价值的勒索数据文件，“侠盗”内置了一份文件后缀白名单，如图6所示。我们将其列到表3中，其中蕴含的文件有可执行文件、系统动态挪用库文件、系统驱动文件和“侠盗”有关的文件等。

GA黄金甲·(中国区)官方网站

图6 不加密的文件类型

白名单蹊径

"\\ProgramData\\"

"\\IETldCache\\"

"\\Boot\\"

"\\Program Files\\"

"\\Tor Browser\\"

"\\All Users\\"

"\\Local Settings\\"

"\\Windows\\"

表4 系统目录白名单

表5中的系统文件也不在加密指标之列：

加密的文件后缀

.1st .602 .docb .xlm .xlsx .xlsm .xltx .xltm .xlsb .xla .xlam .xll .xlw .ppt .pot .pps .pptx .pptm

.potx .potm .ppam .ppsx .ppsm .sldx .sldm .xps .xls .xlt ._doc .dotm ._docx .abw .act .adoc .aim

.ans .apkg .apt .asc .asc .ascii .ase .aty .awp .awt .aww .bad .bbs .bdp .bdr .bean .bib .bib .bibtex

.bml .bna .boc .brx .btd .bzabw .calca .charset .chart .chord .cnm .cod .crwl .cws .cyi .dca .dfti

.dgs .diz .dne .dot .doc .docm .dotx .docx .docxml .docz .dox .dropbox .dsc .dvi .dwd .dx .dxb .dxp

.eio .eit .emf .eml .emlx .emulecollection .epp .err .err .etf .etx .euc .fadein.template .faq .fbl

.fcf .fdf .fdr .fds .fdt .fdx .fdxt .fft .fgs .flr .fodt .fountain .fpt .frt .fwd .fwdn .gmd .gpd

.gpn .gsd .gthr .gv .hbk .hht .hs .hwp .hwp .hz .idx .iil .ipf .ipspot .jarvis .jis .jnp .joe .jp1

.jrtf .jtd .kes .klg .klg .knt .kon .kwd .latex .lbt .lis .lnt .log .lp2 .lst .lst .ltr .ltx .lue

.luf .lwp .lxfml .lyt .lyx .man .mbox .mcw .md5 .me .mell .mellel .min .mnt .msg .mw .mwd .mwp

.nb .ndoc .nfo .ngloss .njx .note .notes .now .nwctxt .nwm .nwp .ocr .odif .odm .odo .odt .ofl .opeico

.openbsd .ort .ott .p7s .pages .pages-tef .pdpcmd .pfx .pjt .plain .plantuml .pmo .prt .prt .psw .pu

.pvj .pvm .pwd .pwdp .pwdpl .pwi .pwr .qdl .qpf .rad .readme .rft .ris .rpt .rst .rtd .rtf .rtfd .rtx

.run .rvf .rzk .rzn .saf .safetext .sam .sam .save .scc .scm .scriv .scrivx .sct .scw .sdm .sdoc .sdw

.se .session .sgm .sig .skcard .sla .sla.gz .smf .sms .ssa .story .strings .stw .sty .sublime-project

.sublime-workspace .sxg .sxw .tab .tab .tdf .tdf .template .tex .text .textclipping .thp .tlb .tm .tmd

.tmdx .tmv .tmvx .tpc .trelby .tvj .txt .u3i .unauth .unx .uof .uot .upd .utf8 .utxt .vct .vnt .vw

.wbk .webdoc .wn .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpd .wpd .wpd .wpl .wps .wps .wpt .wpt .wpw

.wri .wsd .wtt .wtx .xbdoc .xbplate .xdl .xdl .xwp .xwp .xwp .xy .xy3 .xyp .xyw .zabw .zrtf .zw.rar

.zip .cab .arj .lzh .tar .7z .gzip .iso .z .7-zip .lzma .vmx .vmdk .vmem .vdi .vbo

表6 加密的文件后缀

5.5 加密用户文件

“侠盗”会遍历习染设备共享目录和本地磁盘。选取RSA-2048+Salsa20算法加密习染设备文件。
加密共享目录下的文件如图8所示：

GA黄金甲·(中国区)官方网站

图8 加密共享目录下的文件

加密本地磁盘目录下文件如图9所示：

GA黄金甲·(中国区)官方网站

图9 加密本地磁盘目录下文件

5.6 天生MANUAL文件

“侠盗”先将勒索信息解密到内存中，在进行版本和后缀信息拼接后，将整个勒索信息写入MANUAL文件中，如图10和图11所示：

GA黄金甲·(中国区)官方网站

图10 创建MANUAL文件，写入勒索信息

GA黄金甲·(中国区)官方网站

图11 解密到内存中的勒索信息

最终的MANUAL文件由勒索信息、加密后的私钥信息和加密后的习染设备信息组成。其中黑客专门强调受害用户不要批改私钥信息内容，由于一旦私钥信息一旦被扭转，就无法对文件进行解密。

5.7 代替习染设备桌面

创建勒索桌面壁纸到“C:\Documents and Settings\[username]\LocalSettings\Temp\bxmeoengtf.bmp”,如图12所示：

GA黄金甲·(中国区)官方网站

图12 创建勒索图片，设置勒索桌面

图13中，勒索图片上写佑装YOURFILES ARE UNDER STRONG PROTECTION BY OUR SOFTWARE. IN ORDER TO RESTORE IT YOUMUST BUY DECRYPTOR，For further stepsread %s-DECRYPT.%s that is located in every encrypted folder”，提醒习染用户阅读Manual文件支付赎金。

GA黄金甲·(中国区)官方网站

图13 勒索壁纸

5.8 删除卷影拷贝

“侠盗”会删除习染推算机卷影副本，这是勒索病毒的通例操作，这样做的主张是预防受害用户通过Windows Recovery对文件进行复原，如图14。

GA黄金甲·(中国区)官方网站

图14 删除卷影副本

如图15，“侠盗”挪用“shell32.ShellExecuteW”执行号令“/c vssadmin delete shadows /all /quiet”

GA黄金甲·(中国区)官方网站

图15 执行删除号令

5.9 衔接C&C

“侠盗”会接见指定域名的80和443端口，“侠盗”在衔接黑客节造的远程服务器（如http://www.kakaocorp.link）成功后，向远程服务器发送习染设备信息，如图16。

GA黄金甲·(中国区)官方网站

图16 向远程服务器发送习染设备信息

其中，rc4key为".oj=294~!z3)9n-1,8^)o((q22)lb$"
strPCdata保留在”*-MANUAL.txt”文件中（*暗示大写的加密文件后缀名），见图18：

GA黄金甲·(中国区)官方网站

图18 Base64存储的PC有关密文信息

由于C&C失效，所有我们没有抓到发送发送strPCdata的数据包。

6.2 解密pubkey

“侠盗”先天生64字节流input3（由Salsakey3（固定字节）和IV3（固定字节）和常量组成），如图19:

GA黄金甲·(中国区)官方网站

图19 天生的input3

“侠盗”在使用Salsa20算法解密黑客的RSA2048公钥，我们将公钥密文记为pubkeyEncrypted，将解密后的公钥记为hackerPubkey，算法如下：

hackerPubkey= Salse20(input3, pubkeyEncrypted)

hackerPubkeyEncrypted见图20：

GA黄金甲·(中国区)官方网站

图20 解密前的hackerPubkey

解密得到hackerPubkey见图21，对比“侠盗”5.2的黑客公钥（图22），我们发此刻5.3版本中黑客更新了其持有的公钥。

GA黄金甲·(中国区)官方网站

图21 GandCrab5.3解密后的公钥

GA黄金甲·(中国区)官方网站

图22 GandCrab5.2 黑客公钥

6.3 本地天生RSA公私玥对

黑客利用微软“advapi32”库函数本地天生RSA-2048公私玥对，我们别离记为locPubkey和locPrikey，针对每个习染者本地公私玥对只天生一次。其中，locPubkey用于加密SalsaFileKey和IV2，而locPrikey使用Salsa20算法加密后最终保留到本地。

locPubkey（0x114字节）见图23:

GA黄金甲·(中国区)官方网站

图23 内存中的locPubkey

locPrikey（0x494字节）见下图24：

GA黄金甲·(中国区)官方网站

图24 内存中的locPrikey

6.4 加密本地私钥

“侠盗”首先天生SalsaKey(32字节随机数)和IV1（8字节随机数），再和常量一路天生64字节输入流，我们记为input1，而后，“侠盗”使用Salsa20算法加密locPrikey，算法如下：

data3 = Salsa20(input1,locPrikey)

SalsaKey(32字节随机数)和IV1（8字节随机数）别离被黑客的公钥加密，如下:

data1= RSA2048(hackerPubkey, SalsaKey)

data2 = RSA2048(hackerPubkey, IV1)

最后，“侠盗”将“data1”、“data2”、“data3”base64加密后保留在本地，如下(其中0x00000494为locPrikey长度)：

gandcrabKey=base64encode(0x00000494+ data1+ data2+ data3)

保留在“****-MANUAL.txt”文件中，如图25：

GA黄金甲·(中国区)官方网站

图25 Base64存储的本地RSA-2048私钥密文信息

6.5 加密习染者文件

“侠盗”第一步天生SalsaFileKey（32字节随机数）、IV2（8字节随机数）以及常量天生的64字节输入流，我们记为input2，input2针对每一个用户文件都独毕天生，而后“侠盗”使用Salsa20算法加密用户文件，算法如下：

data4 = Salsa20(input2,userFile)

第二步用本地公钥locPubkey加密SalsaFileKey（32字节随机数）和IV2（8字节随机数），算法如下：

data5 = RSA2048(locPubkey, SalsaFileKey)

data6 = RSA2048(locPubkey, IV2)

最后，“侠盗”将“data4”、“data5”、“data6”和固定的字节拼接成加密文件，如下(其中lenUserFile为用户原始文件大幼)：

finalFile=data4 +data5+data6+lenUserFile+固定字节

加密后的文件结构如图26：

GA黄金甲·(中国区)官方网站

图26 加密的文件结构

7.总结与建议

由于大部门勒索病毒加密后的文件都无法解密，所以应对勒索病毒以预防和备份为主。建议用户做好日常的防备措施：

实时更新操作系统，实时给推算机打补丁。
对沉要的数据文件要进行异地备份。
尽量关关不用要的文件共享，或把共享磁盘设置为只读属性，不允许局域网用户改写文件。
尽量关关不用要的服务和端口。如：135，139，445端口，对于远程桌面服务（3389），VNC服务必要进行白名单设置，仅允许白名单内的IP登陆。
选取不少于10位的高强度密码，并定期更换密码，通过windows组战术配置账户锁定战术，对短功夫内陆续登陆失败的账户进行锁定。
装置具备自�；ぶ澳艿姆啦《救砑�，并实时更新病毒库或软件版本。
加强员工安全意识培训，不等闲打开陌生邮件或运行起源不明的法式，堵截勒索病毒的邮件传布方式。

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

【警惕】“侠盗”勒索病毒V5.3新变种全面分解

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线