GandCrab勒索病毒家族开始借助钓鱼邮件附加DOC文档传播

一、概述

近日，腾讯御见威胁情报中心监控到GandCrab勒索家族使用钓鱼邮件攻击的案例，攻击者通过邮件内附带doc文档的方式，诱导受害者打开文档，一旦文档被打开，开启宏代码的条件下则会执行恶意代码，进而下载GandCrab v5.0.4勒索病毒执行。

GandCrab勒索病毒是2018年非常活跃的勒索病毒家族，御见威胁情报中心曾经多次发布预警。该病毒家族自2018年9月起增加了蠕虫式的传播渠道：通过感染U盘、感染压缩文件、感染Web目录，以及弱口令端口爆破等方式在局域网内主动扩散传播，蠕虫式的传播导致该病毒在一段时间内感染量激增。

现在，该病毒家族再次增加通过钓鱼邮件欺骗附带Word文档执行恶意宏代码的攻击方式，将促进该病毒进一步扩散，御见威胁情报中心再次提醒各政企机构严加防范。

二、宏文档传播的勒索病毒

恶意文档名为rechnungen.doc，其实际内容为空，攻击者通过钓鱼邮件发起鱼叉式攻击的方式，诱导受害者下载附件，打开文档。如果收到邮件的人按提示启用恶意宏代码，将导致更加严重的后果。

恶意宏代码执行后，会从URL（hxxp://karbonkoko.com/rundll.exe）处下载恶意文件，该文件为GandCrab 5.0.4勒索病毒。

包含恶意宏代码的doc文档，文档名为rechnungen.doc

查看混淆的恶意宏代码可知该doc文档为DownLoader木马

执行后的恶意宏代码会Get请求获取hxxp://karbonkoko.com/rundll.exe文件

最终将下载到的rundll.exe文件在Public目录名下以yezjqhfmwjxi.exe 执行

yezjqhfmwjxi.exe本质为外壳装载器，通过在内存中解密执行真正的恶意payload

查看payload文件入口为标准的GandCrab病毒花指令混淆

传播病毒为GandCrab病毒版本5.0.4

病毒感染成功后加密文件添加yledlyjaat随机扩展后缀

GandCrab勒索病毒是2018年以来最为活跃的勒索病毒之一，该病毒在短短一年时间内历经5次大版本更新，目前5.0大版本病毒加密用户文件后会添加随机5-10扩展后缀，同时修改用户桌面。国内目前感染的该病毒最新版本为5.1.6，但目前国内感染量最多，最为活跃的病毒依旧为5.0.4版本。

GandCrab最新5.1.6加密完成版本

三、内网攻击扩散机制

GandCrab在国内通过弱口令爆破传播感染也十分流行，腾讯安全应急响应中心在多次实地检查真实攻击案例后，发现部分企业存在局域网内多台机器使用同一弱口令的问题，这些管理漏洞导致企业内网大面积感染勒索病毒，业务系统被攻击瘫痪的案例时有发生。

通过采集勒索现场攻击者留下的相关工具，可还原勒索病毒攻击真实场景，以下为某公司中勒索病毒后现场提取到的攻击者使用工具Project 2.0。

攻击者首先通过入侵控制一台企业内对外服务的机器，然后在该机器上传作案工具。该工具为Delphi 7编写的攻击套件管理集，可以一键结束非系统的无关进程，一键下载执行内网攻击使用到的多个组件。

通过观察该工具组件，我们推测入侵者的攻击流程如下：

1、攻击者首先使用processhacker与ARK工具gmer尝试与机器内的安全软件做对抗，尝试突破安全软件防护，使安全软件的保护功能失效。

2、运行执行命令，激活当前用户，关闭防火墙，删除卷影信息等，删除卷影信息为防止勒索病毒加密后的原始文件被找回。

    3、使用mimikatz获取当前主机信息，主要目的为拿到当前机器登录密码，管理工具同时集成了mimikatz x32和x64两个不同软件版本。

4、使用Advanced_IP_Scanner或NS(NetWorkShare)扫描工具扫描局域网中其它活跃机器。

5、使用前期准备工作拿到的口令，尝试以弱口登录局域网内更多机器，一但企业内多台服务器使用统一弱密码，则会被攻击者进一步攻击成功进而运行勒索病毒，从而导致企业内网多台机器染毒中招。

    6、登录成功其它同样采用弱口令的机器后，运行payload实施勒索病毒攻击。作案完毕再执行一键关闭自删除功能毁尸灭迹。

四、安全建议

企业用户：

1、 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、 尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、 采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、 对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、 对重要文件和数据（数据库等数据）进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止Office启用宏代码。

7、 在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

8、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户：

1、 启用腾讯电脑管家，勿随意打开陌生邮件，关闭Office执行宏代码

2、 打开电脑管家的文档守护者功能，利用磁盘冗余空间自动备份数据文档，即使发生意外，数据也可有备无患。

IOCs

MD5:

444749249e358f3c67d0abc468b8349c

acb2a86049680d7e4b95bf501b9b11cc

URL:

hxxp://karbonkoko.com/rundll.exe