GandCrab勒索病毒攻击分析

勒索病毒接连爆发后，我们看到目前普遍的监测分析方式多为人工分析，主要通过逆向对二进制代码分析检测恶意样本，以近期我中心监测到的针对政府GandCrab勒索攻击事件为例，邮件附件内容是一个伪装成word的exe文件，勒索软件加密成功后，会提示安装洋葱浏览器（TorBrowser），访问付费链接，根据提示缴付赎金，生成的扩展后缀和文本文件名称都是随机的；

根据GandCrab V5.2勒索病毒留下的线索，要求受害者访问暗网链接“http://gandcrabmfe6mnef.onion/6eee7e63ca9b5de7”支付赎金，根据暗网页面提示，攻击者要求受害者支付0.36274162比特币到钱包地址3FM7wWReG58WomjJU546Va54q1EkueyQ49或支付14.56549993达士币到钱包地址XtffyyugsBqJp2SF3obAfiVQsXyw9VW55z，赎金约为人民币7500元左右。

通过进一步深入分析，我们看出样本的主要行为有勒索、查找密码配置文件、获取注册表信息等；

采用基于大数据分析技术，基于图聚类Louvain算法此算法能够发现层次性的社区结构，如客户端IP与服务端IP之间的关联关系，采用图算法来进行病毒木马特征及远控服务器潜在信息的挖掘。远控服务器通过对整个僵尸网络发布相同的控制指令，所以统计一段时间攻击源IP和攻击者域名之间的关联关系， 可以确定恶意病毒的类型及网络行为。

通过在被感染主机上抓包，发现勒索病毒运行后会通过HTTP和HTTPS与www.kakaocorp.link进行通信，解析IP:107.173.49.208,此IP和域名在威胁情报中心查询结果被标记为恶意。

Bitdefender针对此勒索病毒发布了解密工具：

https://labs.bitdefender.com/2019/02/new-gandcrab-v5-1-decryptor-available-now/

更多精彩内容，请加入知识星球ID：19483446