GandCrab 5.2勒索病毒利用ACE解压缩漏洞(unacev2.dll漏洞)传播

2019-03-26 15:30:48
腾讯御见威胁情报中心再次监测到,GandCrab 5.2勒索病毒利用WinRAR漏洞(CVE-2018-20250,系unacev2.dll代码库高危漏洞)传播。病毒隐藏在压缩文件中,在未修复安全漏洞的电脑上解压文件时,便会触发漏洞利用,病毒母体被释放到启动目录中。一旦用户重启或重新登录系统,GandCrab勒索病毒将自动运行并加密所有数据文件。

近日,腾讯御见威胁情报中心再次监测捕获到,GandCrab 5.2勒索病毒利用WinRAR漏洞(CVE-2018-20250,系unacev2.dll代码库高危漏洞)传播。病毒隐藏在压缩文件中,在未修复安全漏洞的电脑上解压文件时,便会触发漏洞利用,病毒母体被释放到启动目录中。一旦用户重启或重新登录系统,GandCrab勒索病毒将自动运行并加密所有数据文件。

GandCrab作为国内最活跃的勒索病毒之一,自2018年初诞生之日起就在国内疯狂扩张感染。在过去一年多的时间内该病毒利用多种手段,多种传播渠道对我国多个政企机构发起攻击,致使多家政企机构遭受到不可逆转的损失。

GandCrab国内传播主要有以下手段:

1.鱼叉式定向投递邮件攻击

2.垃圾邮件群发

3.感染U盘、移动硬盘,并配置自动播放模式传播

4.感染硬盘压缩文件,感染硬盘中的Web目录

5.RDP爆破,VNC爆破

6.网站挂马

现在又增加了新的传播手法:隐藏在ace格式的压缩文件中,欺骗用户解压缩。

诱饵压缩包内为包含名为help.txt0字节空文档,欺骗受害者解压后查看


未修复漏洞的电脑在本地计算机解压文件后,便会触发漏洞利用,释放GandCrab v5.2勒索病毒到启动目录。


名为update.exe的病毒母体解压后被存放于开机启动项目录中,此时重启或重新登录系统,该勒索病毒将自动运行,开始加密用户磁盘中的数据文件。


UPX后的程序依然为外壳程序,通过在内存中可找到真正的勒索payload


查看payload此次样本依然会对病毒使用到的所有字符串进行动态解密使用,但该样本并未像以往GandCrab一样对代码进行花指令混淆,猜测本次样本可能为作者少量测试投放版本。


通过病毒硬编码版本号可知为GandCrab 5.2版本勒索病毒


此次的GandCrab 5.2版本互斥量变更为AversSucksForever,这也代表此前的BitHuender互斥量免疫方案将不适用于此病毒版本


病毒最终会加密系统中的多种类型文件并添加.uhymsoofa随机扩展后缀


替换桌面壁纸并留下勒索说明文档


参考链接:

《勒索病毒GandCrab 5.2紧急预警:冒充公安机关进行鱼叉邮件攻击》https://mp.weixin.qq.com/s/g1JMjRRiT7lMLDFa4of00A

IOCs

MD5:

d976cf512131c1e3772ac498bd2ed4a2
d5a7073acd33cdbcd520fab55cb4e316

安全建议

企业用户:

1、尽量关闭不必要的端口,如:445135139等,对33895900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、升级压缩软件,或删除压缩工具目录下的unacev2.dll

8、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。


9、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

个人用户:

1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码;

2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。

3、升级压缩软件到最新版本,或删除压缩软件安装目录下的unacev2.dll文件(可以在硬盘上搜索查找该文件)。


最新资讯