GandCrab勒索病毒本周进行了一次更新，更新到v5.2版本, 目前已有国内用户反馈中招。之前的v5.1版本因密钥泄露，已经被破解，360解密大师也支持了该勒索病毒之前版本的解密，而病毒此次更新主要就是为了应对密钥泄露问题，更换了加密使用的主密钥。

情况介绍

GandCrab勒索病毒家族在国内传播广泛，曾使用U盘蠕虫、下载器、远程桌面爆破、永恒之蓝漏洞等各种方式传播，而这次病毒传播者又开启了挂马传播技能，对个人用户危害严重！近期病毒作者更是贴出了上个月的收入，总计超过285万美元，折合人民币超过1926万！

（ 作者在暗网论坛展示的收入情况 ）

作者之所以会公开自己的收入，主要是希望通过这种方式吸引更多恶意软件传播者加入其中。从其病毒传播的多元性上，也能印证这一做法确实有效。这种代理合作的传播方式，也让其成为2018年传播量最大、传播渠道最广的勒索病毒之一。一直以来，GandCrab都紧跟技术发展，比如在2018年9月份的更新中，该勒索病毒就加入了对CVE-2018-0896（Windows 10提权漏洞）的利用。

在2019年，GandCrab又开启新传播方式——利用网页挂马进行传播。挂马站点在色情站点投放广告，利用色情站点跳转挂马页面实施攻击。本次主要利用了Fallout Exploit Kit工具，Fallout Exploit Kit近期做过一次更新，添加了对CVE-2018-4878（Adobe Flash Player漏洞）、CVE-2018-8174（Windows VBScript引擎远程代码执行漏洞）的漏洞利用。

（ 挂马页面展示 ）

GandCrab目前对解密单个机器的要价为3000美元，而在2018年11月份到12月份，针对单个用户索要的赎金金额则是500美元，赎金价格的大幅上涨也显著提升了作者的收益。

（ 新版GandCrab勒索支付页面 ）

简要分析

v5.2版本的GandCrab在代码上与v5.1版变动不大。和v5.1版本类似，程序在多处存在代码错位用来干扰静态分析：

（ 经代码错位手段处理过的代码片段 ）

病毒启动之后会等待大约28秒，之后开始执行恶意代码。在设置这个等待间隔上，病毒没有使用传统的如sleep或者直接设置一个定时器触发函数之类方法，而是设置了一个1.337秒触发一次的定时器，在其第21次触发时开始工作。

（ 通过定时器实现延迟启动的功能 ）

在完成一些必要的代码初始化操作之后（如提权、初始化部分API等），病毒开始正式工作，首先会收集一些机器及用户信息。收集到这些信息后，会将其统一加密并保存到本地生成的勒索信息文件中。而当用户寻求解密的时候（需向黑客提交勒索信息文件），这些信息便会随文件一同提交给黑客，用户进行解密时，同时也会造成用户隐私信息的泄露。

（ 收集用户信息数据 ）

而在文件加密方面，GandCrab v5.2会对超过300种文件进行加密。具体文件列表如下图所示：

（ GandCrab加密的文件类型列表 ）

当发现有符合类型的文件，便会进入加密流程：

（ 勒索病毒加密功能代码 ）

其加密的具体步骤为：

1.、使用字符串“@hashbreaker Daniel J. Bernstein let's dance salsa”做为密钥，通过Salsa20算法解密内置的RSA公钥；

2、生成一个随机字符串作为Salsa20密钥（以下称“密钥1”），使用内置的RSA2048公钥加密密钥1后保存到勒索信息文件中

3、生成一对RSA密钥，使用密钥1加密RSA私钥（以下称“生成的私钥”）后保存到勒索信息文件中，同时将生成的RSA公钥（以下称“生成的公钥”）也保存在勒索信息文件中

4、为每个待加密的文件生成一个随机字符串作为Salsa20密钥（以下称“密钥2”），使用该密钥加密文件

5、使用生成的公钥加密密钥2后保存到每个被加密文件的末尾

为了更加形象的说明这个颇为复杂的流程，我们制作了一张流程图如下所示：

（ 勒索病毒加密流程图 ）

最终在全部加密完成后，病毒会修改桌面壁纸并展示勒索信息：

（ 展示勒索信息 ）

安全建议

使用360安全卫士的用户无需担心，360安全卫士无需升级就能够拦截GandCrab v5.2勒索病毒。用户可使用360安全卫士系统修复功能，及时给系统和应用软件打补丁，防范挂马攻击。同时也应防范病毒在其它渠道的攻击，服务器管理员应及时安装补丁，修复服务器系统、Web应用漏洞，使用强度高的服务器登录口令与Web应用后台登录密码，防止攻击者通过漏洞利用或弱口令爆破等方式攻击服务器。

（ 360安全卫士拦截 ）