“侠盗”勒索病毒(GandCrab)5.3出现,但这个升级有点儿假

2019-04-22 11:32:52
腾讯御见威胁情报中心捕获到一例GandCrab 5.3变种,该5.3变种与此前攻击我国政府部门的5.2版本无明显差异,不同之处主要在于勒索时要求使用邮箱进一步沟通勒索金额。
近日,腾讯御见威胁情报中心捕获到一例“侠盗”勒索病毒(GandCrab )5.3变种,该5.3变种与此前攻击我国政府部门的5.2版本无明显差异,不同之处主要在于勒索时要求使用邮箱进一步沟通勒索金额。以往发现大规模商用出售的GandCrab勒索病毒版本通常会使用外壳程序进行安全对抗,且攻击成功要求使用Tor浏览器登录暗网进行勒索交易,但新出现的5.3变种并无此类特征,更像是个别修改版本,由于该版本GandCrab的加密尚无法解密,因此,提醒各政企机构提高警惕。

GandCrab 5.3的勒索信息


GandCrab 5.2的勒索信息


以往公开商用版GandCrab会使用外壳程序+勒索Payload做对抗,而该变种并未使用外壳保护(有点匪夷所思,作者搞测试放出来的?)

该版本使用RSA主密钥与以往5.2版本一致,并无变化

GandCrab 5.3放行的国家依旧无变化,以下白名单里的国家或地区不感染:
419(俄罗斯)422(乌克兰) 423(比利时) 428(塔吉克) 42c(阿塞拜疆) 437(格鲁吉亚) 43f(吉尔吉斯坦) 440(吉尔吉斯斯坦) 442(土库曼) 443(乌兹别克斯坦) 444(鞑靼斯坦) 818(未知) 819(未知) 82c(阿塞拜疆) 843(乌兹别克)  45A(叙利亚)  2801(未知)

IOCs:
MD5:
6b054c8d851cb5a91afb6a3d5bc57886

最新资讯