腾讯御见威胁情报中心检测到，不法分子正在使用GandCrab5.2勒索病毒对我国政府部分政府部门工作人员进行鱼叉邮件攻击。攻击邮件主题为“你必须在3月11日下午3点向警察局报到！”，攻击邮件主题为“你必须在3月11日下午3点向警察局报到！”，包含“Min，Gap Ryong”及其他假冒的发件人约70余个，邮件附件名为“03-11-19.rar"。[出自:jiwo.org]

GandCrab勒索病毒是国内目前最活跃的勒索病毒之一，该病毒在过去一年时间经过5次大版本更新，腾讯威胁情报中心曾多次发布预警，该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破，挂马，垃圾邮件传播，该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。

GandCrab在国内近期投递恶意邮件较多，主要有以下几种形式：

例如本次攻击我国政府本门的附件内直接包含了exe文件：

附件内为韩语版本文件名，exe使用空格做伪装的超长文件名：

附件使用伪装的pdf文件：

借助doc宏文档执行DownLoader传播。

腾讯电脑管家和腾讯御点终端安全管理系统均可拦截：

分析

附件中的EXE实际为外壳程序，通过在内存解密出真正的勒索程序加载payload：

查看Dump后模块入口为GandCrab标准花指令混淆，目的为干扰静态分析：

目前发现众多GandCrab 5.2系列版本病毒会使用一个固定名为BitHuender的互斥量，Bitdefender曾多次联合警方对GandCrab勒索病毒进行物理打击，对过去多个历史版本的病毒进行了解密，病毒作者互斥体起名与Bitdefender神似，猜测故意为之。

测试开启该互斥体情况下，GandCrab 5.2病毒版本运行后会直接自删除，从而跳过恶意加密行为，利用此方法可简单有效避开部分病毒版本。

GandCrab 5.2版本运行后会首先结束大量文件占用类进程，防止加密过程中产生异常。

并获取当前操作系统语言做白名单过滤。

419（俄罗斯）422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克)  45A（叙利亚）  2801（未知）。

GandCrab 5.2同样会收集用户机器信息。

在内存中解密出RSA公钥。

内存中解密出白文件不加密扩展后缀。

解密出大量加密扩展后缀。

通过在内存中解密出白名单不加密目录，主要有以下目录：

• ProgramData

• IETldCache

• Boot

• Tor Browser

• All Users

• Local Settings

• Windows

最终使用salsa20加密原始文件内容。

文件加密完成后添加随机扩展后缀。

IOCs
MD5:
fde0e8de7119080ec1705eba74037514
d5ad7b954eace2f26a37c5b9faaf0e53

安全建议

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

8、建议全网安装御点终端安全管理系统：

（https://s.tencent.com/product/yd/index.html）

御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。