上周，一種名為“GandCrab”的新型勒索病毒被發現，它通過漏洞利用工具包傳播。GandCrab有一些以前沒有見過的有趣的特性，比如它是第一個接受達世幣（DASH）、第一個使用Namecoin域名的勒索病毒。

　　該病毒首先由安全研究員大衛·蒙特內格羅（David Montenegro）發現，很多研究人員已經開始跟進這一病毒，并在推特上公布他們的結果。這篇文章將深入探討我和其他研究人員發現的問題。

　　不幸的是，目前還沒有免費的方法解密由GandCrab加密的文件。如果有任何新的研究進展，我們將第一時間更新本篇文章。

　　GandCrab通過Rig工具包傳播

　　根據研究人員nao_sec和Brad Duncan的分析, GandCrab目前正通過一種名為Seamless的惡意廣告軟件進行傳播。然后利用Rig工具包通過用戶系統中的軟件漏洞安裝GandCrab。安裝成功后,受害者可能不會意識到他們被感染了，直到為時已晚?！　?/p>

　　第一個使用達世幣（DASH）作為贖金的勒索病毒

　　目前大部分勒索病毒家族都使用比特幣作為贖金。最近，一些勒索病毒甚至開始使用門羅幣（Monero）甚至以太坊（Ethereum）作為支付手段。

　　GandCrab是第一個使用達世幣（DASH）作為贖金的勒索病毒。很可能是因為達世幣（DASH）建立在保護隱私的基礎上，使得執法人員無法通過區塊鏈來追蹤實際的持有人。

　　GandCrab目前勒索的贖金為1.54達世幣（DASH），按照今天的價格換算成美金大概是$1,170?！　?/p>

　　使用Namecoin的.BIT域名

　　另外一個有趣的特性是GandCrab使用了Namecoin的.bit域名，.bit不是由ICANN（互聯網名稱與數字地址分配機構）認可的頂級域名，而是由去中心化域名系統NameCoin管理。

　　這意味著如果要解析該域名，必須使用支持它的DNS服務器。GandCrab使用a.dnspod.com這個dns服務器進行域名解析，這個域名服務器可以用來解析.bit域名。

　　GandCrab使用下面這些域名作為其后臺控制服務器的地址。有趣的是，這個勒索病毒使用了我們的網站名（bleepingcomputer）作為域名，另外也使用了esetnod32等知名產品的名字。

　　bleepingcomputer.bit

　　nomoreransom.bit

　　esetnod32.bit

　　emsisoft.bit

　　gandcrab.bit

　　因為GandCrab使用Namecoin的域名，這使得執法人員無法追蹤到域名的所有人，也無法關停這些域名?！　?/p>

　　GandCrab是如何加密系統的

　　當GandCrab首次啟動時，會嘗試連接后臺控制服務器。因為這臺服務器的地址是由.bit域名指向的，GandCrab首先會請求域名服務器來獲取后臺控制服務器的地址。

　　如前面所說，GandCrab使用a.dnspod.com這個dns服務器進行域名解析。用來進行域名解析的命令是“nslookup domain_name a.dnspod.com”。如果受害者的機器無法連接C2服務器（也稱C&C，Command and Control Server縮寫，指木馬的控制和命令服務器），該病毒會放棄加密系統上的文件。但是病毒會在后臺一直嘗試連接C2服務器。

　　連接C2服務器成功后，據我們目前所知還無法確定受害者機器和C2服務器之間具體會傳輸什么樣的數據，但是C2服務器很可能會將用來加密文件的公鑰下發到受害者機器。

　　在這個過程中，受害者機器會訪問http://ipv4bot.whatismyipaddress.com/獲得本機的公網IP地址。

　　GandCrab加密受害者機器上的文件之前會檢查是否有指定進程在運行，如果有的話就結束這些進程。這樣做是為了避免被加密的文件被其他進程占用導致加密失敗。根據安全研究人員Vitali Kremez的分析，GandCrab會結束以下進程：

　　msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

　　之后，GandCrab就開始加密受害者機器上指定后綴的文件。根據安全研究人員Pepper Potts的分析，GandCrab會加密以下后綴的文件：

　　1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

　　加密的過程中，根據Vitali Kremez的分析，GandCrab會忽略路徑中含有以下字符串的文件：

　　ProgramData, Program Files, Tor Browser, Ransomware, All Users, Local Settings, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt, .sql

　　加密之后，GandCrab會在原文件名后面加上.GDCB后綴，比如test.jpg文件加密后會重命名為test.jpg.GDCB。

　　在某一時刻，GandCrab會以”C:Windowssystem32wbemwmic.exe” process call create “cmd /c start %Temp%[launched_file_name].exe”命令重新啟動自己，系統會彈出如下的UAC（用戶帳戶控制）確認窗，如果用戶不選擇“Yes”，這個窗口會一直彈出。

　　當GandCrab加密完受害者機器上的文件之后，受害者機器上會出現一個名為GDCB-DECRYPT.txt的文件。GDCB-DECRYPT.txt文件內容會告知受害者當前系統上的文件已被加密，并且提供了一份網關列表讓受害者可以通過Tor訪問支付贖金的網址。

　　當受害者打開支付贖金的鏈接，會訪問一個名叫“GandCrab Decryptor”的頁面，這個頁面上會由贖金的數量、付款的達世幣（DASH）地址和一份解密過的文件。前面已經說過，目前還沒有免費的方法解密由GandCrab加密的文件。

　　如何防范GandCrab

　　為了防范GandCrab，好的電腦使用習慣和安全軟件十分重要。最重要的，確保你的重要文件和數據有備份，這樣GandCrab就無法威脅到你。

　　你還應該在你的系統中安裝安全軟件，并且安裝的安全軟件需要具備行為檢測能力來發現勒索軟件，而不僅僅是簽名檢測或啟發式檢測。比如Emsisoft Anti-Malware和Malwarebytes Anti-Malware都具備行為檢測能力，他們能阻止大部分（但不是全部）的勒索軟件加密系統上的文件。

　　最后,請確保你踐行了下面的這些安全習慣，在許多情況下他們是最好的防范措施：

　　備份，備份，備份！

　　不要打開陌生人發來的附件

　　確保附件真的是你認識的人發送的

　　使用類似VirusTotal的工具掃描收到的附件

　　確保第一時間安裝系統補丁和更新！同時確保所有機器上的軟件特別是Java, Flash和Adobe Reader是最新的。老版本的軟件通常包含一些能被惡意軟件和漏洞工具包利用的漏洞

　　確保你的系統中安裝來具備行為檢測能力或白名單機制的安全軟件。白名單的配置非常耗時耗力，但是它往往最有效

　　使用復雜的密碼，永遠不要在多個地方使用同樣的密碼

責任編輯：韓希宇