当前位置:首页 > 宅科技 > 正文

GandCrab V4 / V5 勒索病毒解密工具

下文节选自《腾讯反病毒实验室对GandCrab勒索病毒家族的总结分析》一文,其发布时间较早,现在GandCrab已经发展到v5

GandCrab勒索病毒堪称2018年勒索病毒界的“新星”,该勒索家族于2018年01月面世,短短几个月的时间,历经三大版本更迭。第一版本的GandCrab勒索病毒因C&C被安全公司与警方合作后控制而登上各大科技媒体头条,两个月后GandCrab V2勒索病毒出现,在V2家族的样本中,病毒作者使用极具挑衅意味的C&C地址(C&C地址中包含针对警方和安全公司的字符内容),又一次登上科技新闻版面。

最近,腾讯反病毒实验室截获GandCrab勒索病毒的V3版本,V3版本结合了V1版本与V2版本的代码隐藏技术,更加隐蔽。GandCrab V3勒索病毒使用CVE-2017-8570漏洞进行传播,漏洞触发后会释放包含“안녕하세요”(韩语” 你好”)字样的诱饵文档。与以往版本的该家族的勒索病毒相比,该版本并没有直接指明赎金金额,而是要求用户使用Tor网络或者Jabber即时通讯软件获得。

GandCrab勒索感染后,显示的勒索界面如下所示:

在每个文件夹下都会释放GDCB-DECRYPT.txt,用来描述解密过程。勒索说明文件如下:

从加密方式来看,该勒索家族的加密方式代码保持了高度的一致性,均使用了RSA+AES相结合的方式,从算法解密难度较大。但由于国外的安全公司与警方合作取得了V1版本的C&C服务器的权限,这使得部分V1版本的加密文件可以解密。但对于V2版本及V3版本的加密文件,现在还没有解密方法。

有趣的是,勒索软件作者为了报复安全公司与警方控制了其V1版本的C&C服务器,在V2版本中直接使用了带有安全公司与警方相关的字符做为其V2版本的C&C服务器,以示挑衅。

各个版本最大的进化之处主要表现在勒索主体的加载流程上,具体如下:

1.  GandCrab V1版本的勒索家族执行流程为:使用Tea算法解码出SHELLCODE后,SHELLCODE解压缩就直接得到了勒索主体程序。

2.  GandCrab V2版本的勒索家族则引入了反射型DLL的技术手段。主体exe程序使用固定的解码KEY直接解码出反射型DLL,并从该反射型DLL的首字节处直接运行。

3. GandCrab V3版本的勒索家族则是将V1版本与V2版本进行了结合,既包含了V1版本中使用的SHELLCODE与解压缩过程,也包含了V2版本中的固定的解码KEY直接解码出反射型DLL


下为博主自己的见解:

从18年至今,各种勒索病毒我一直在跟进,现在基本都变成了RSA+AES的加密形式,不同于传统病毒,这种高强度的加密形式是无解的。

如果有解决方案,可能有三种形式:

1、病毒作者自己写了一个神奇的逻辑错误,让某种情况下文件会自己解密

2、DES加密被成功破解并且不是效率很高

3、服务器被警方拿下了,作者被活捉了


目前的话360已经给出了GandCrab V4 / V5的解决方案,不过看了下实质,唔……不说了,能用就行了。目前支持解锁以下版本:

另外请不要听信他人说的找数据恢复公司能解决,真能解决的话这些大公司的早给解决方案了。

上个图,使用中有任何建议等问题,请向我进行反馈,我会通知360改进。

目前官方给出的解决方法是让下载360安全卫士,在软件管家->360文档卫士里使用解密服务。
我找了下发现360有独立版本的360文档卫士提供:

下载地址:

http://dl.360safe.com/docprot/setup.exe


 

软件无法下载/安装/其它电脑问题,加免费QQ群(500人):949039296

文章标题:GandCrab V4 / V5 勒索病毒解密工具
本文作者:慕若曦
发表日期:2019-02-6 08:36 星期三    首发于    暮若夕
本文固定链接: https://www.muruoxi.com/3765.html
 
文章标签:
上一篇: 下一篇:

1 条评论

评论加载中...
  1. 沙发
    MGHT   

    最好的方法就是第一时间打win10的补丁

    2019年2月8日 下午10:22 评论

发表评论

╮( ̄▽ ̄)╭ |  (= ̄ω ̄=) |  (>﹏<) |  Σ( ° △ °|||)︴ |  Σ(っ °Д °;)っ |  X﹏X |  (╯-_-)╯╧╧

小提示:提交评论后刷新本页面即可看到隐藏的文件哦~
十年之约
加载中……