一、 事件概述

近日，深信服安全团队接到包括金融行业在内的多家企业反馈，其内部员工收到可疑邮件。邮件发件人显示为“National Tax Service”（译为“国家税务局”），邮箱地址为lijinho@cgov.us，意图伪装成美国政府专用的邮箱地址gov.us，邮件内容是传讯收件人作为被告审讯，详细内容在附件文档中：

附件压缩包中包含两个文件，看起来像是跟案件有关的文档文件，后缀为“.docx”。看到这两个文档，想必此时“深陷官司”的收件人一定想点开来一看究竟，却不知这样正好落入不法分子的圈套：

当设置取消“隐藏已知文件类型的扩展名”后，两个伪装成文档的文件露出了它的真面目，它们其实是两个exe文件。

这两个文件的真实身份其实是GandCrab5.2勒索病毒。GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族，该勒索病毒首次出现于2018年1月，在将近一年的时候内，经历了五个大版本的更新迭代，此勒索病毒的传播感染多式多种多样，使用的技术也不断升级，勒索病毒主要使用RSA密钥加密算法，导致加密后的文件，无法被解密。

GandCrab5.2为GandCrab家族最新变种，近期在国内较多的以投递恶意邮件的方式进行攻击，邮件内容通常带有恐吓性质。如果收件人不慎点开邮件附件，将会遭到勒索攻击。深信服在此提醒广大用户，谨慎打开来历不明的邮件。

二、 样本分析

1. GandCrab5.2同样使用了代码混淆等技术，防止安全分析人员对样本进行分析，如下所示：

2. 同样收集中毒主机的相关信息，如下所示：

3. 获取GandCrab的版本信息5.2，如下所示：

4. 创建互斥变量，如下所示：

5. 解密出新的RSA密钥信息，如下所示：

6. 从内存中解密出相应的后缀信息，如下后缀文件名，不进行加密，如下所示：

7. 加密相应的后缀名的文件，如下所示：

8. 设置相应的密钥注册表项，如下所示：

设置完之后，如下所示：

9. 解密出相应的勒索信息，如下所示：

10. 同样如果在一些目录下，则不进行加密，如下所示：

11. 勒索信息写入到勒索信息文本文件中，如下所示：

相应的勒索信息，如下所示：

12. 遍历加密相应的文件，如下所示：

13. 加密后的文件为之前在内存中解密生成的随机文件名后缀，如下所示：

加密后的文件，如下所示：

14. 同样与远程服务器进行通信，地址与之前GandCrab5.1一样，如下所示：

服务器地址：www.kakaocorp.link

15. 最后更改主机背景，如下所示：

16. 勒索TOR地址，如下所示：

总体来说GandCrab5.2与GandCrab5.1没有多大的更新，基本功能大体一致，加密算法同样使用RSA+Salsa20相结合的加密算法，GandCrab黑产团伙更新GandCrab5.2版本主要是为了应对之前放出的解密工具。

三、 解决方案

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。深信服提醒广大用户尽快做好病毒检测与防御措施，防范该病毒家族的勒索攻击。

病毒防御

深信服安全团队再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施：

1、 及时给电脑打补丁，修复漏洞。

2、 对重要的数据文件定期进行非本地备份。

3、 不要点击来源不明的邮件附件，不从不明网站下载软件。

4、 尽量关闭不必要的文件共享权限。

5、 更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

6、 如果业务上无需使用RDP的，建议关闭RDP。

最后，建议企业对全网进行一次安全检查和杀毒扫描，加强防护工作。