上周，一种名为“GandCrab”的新型勒索病毒被发现，它通过漏洞利用工具包传播。GandCrab有一些以前没有见过的有趣的特性，比如它是第一个接受达世币（DASH）、第一个使用Namecoin域名的勒索病毒。

　　该病毒首先由安全研究员大卫·蒙特内格罗（David Montenegro）发现，很多研究人员已经开始跟进这一病毒，并在推特上公布他们的结果。这篇文章将深入探讨我和其他研究人员发现的问题。

　　不幸的是，目前还没有免费的方法解密由GandCrab加密的文件。如果有任何新的研究进展，我们将第一时间更新本篇文章。

　　GandCrab通过Rig工具包传播

　　根据研究人员nao_sec和Brad Duncan的分析, GandCrab目前正通过一种名为Seamless的恶意广告软件进行传播。然后利用Rig工具包通过用户系统中的软件漏洞安装GandCrab。安装成功后,受害者可能不会意识到他们被感染了，直到为时已晚。　　

　　第一个使用达世币（DASH）作为赎金的勒索病毒

　　目前大部分勒索病毒家族都使用比特币作为赎金。最近，一些勒索病毒甚至开始使用门罗币（Monero）甚至以太坊（Ethereum）作为支付手段。

　　GandCrab是第一个使用达世币（DASH）作为赎金的勒索病毒。很可能是因为达世币（DASH）建立在保护隐私的基础上，使得执法人员无法通过区块链来追踪实际的持有人。

　　GandCrab目前勒索的赎金为1.54达世币（DASH），按照今天的价格换算成美金大概是$1,170。　　

　　使用Namecoin的.BIT域名

　　另外一个有趣的特性是GandCrab使用了Namecoin的.bit域名，.bit不是由ICANN（互联网名称与数字地址分配机构）认可的顶级域名，而是由去中心化域名系统NameCoin管理。

　　这意味着如果要解析该域名，必须使用支持它的DNS服务器。GandCrab使用a.dnspod.com这个dns服务器进行域名解析，这个域名服务器可以用来解析.bit域名。

　　GandCrab使用下面这些域名作为其后台控制服务器的地址。有趣的是，这个勒索病毒使用了我们的网站名（bleepingcomputer）作为域名，另外也使用了esetnod32等知名产品的名字。

　　bleepingcomputer.bit

　　nomoreransom.bit

　　esetnod32.bit

　　emsisoft.bit

　　gandcrab.bit

　　因为GandCrab使用Namecoin的域名，这使得执法人员无法追踪到域名的所有人，也无法关停这些域名。　　

　　GandCrab是如何加密系统的

　　当GandCrab首次启动时，会尝试连接后台控制服务器。因为这台服务器的地址是由.bit域名指向的，GandCrab首先会请求域名服务器来获取后台控制服务器的地址。

　　如前面所说，GandCrab使用a.dnspod.com这个dns服务器进行域名解析。用来进行域名解析的命令是“nslookup domain_name a.dnspod.com”。如果受害者的机器无法连接C2服务器（也称C&C，Command and Control Server缩写，指木马的控制和命令服务器），该病毒会放弃加密系统上的文件。但是病毒会在后台一直尝试连接C2服务器。

　　连接C2服务器成功后，据我们目前所知还无法确定受害者机器和C2服务器之间具体会传输什么样的数据，但是C2服务器很可能会将用来加密文件的公钥下发到受害者机器。

　　在这个过程中，受害者机器会访问http://ipv4bot.whatismyipaddress.com/获得本机的公网IP地址。

　　GandCrab加密受害者机器上的文件之前会检查是否有指定进程在运行，如果有的话就结束这些进程。这样做是为了避免被加密的文件被其他进程占用导致加密失败。根据安全研究人员Vitali Kremez的分析，GandCrab会结束以下进程：

　　msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe

　　之后，GandCrab就开始加密受害者机器上指定后缀的文件。根据安全研究人员Pepper Potts的分析，GandCrab会加密以下后缀的文件：

　　1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx,.ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip

　　加密的过程中，根据Vitali Kremez的分析，GandCrab会忽略路径中含有以下字符串的文件：

　　ProgramData, Program Files, Tor Browser, Ransomware, All Users, Local Settings, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt, .sql

　　加密之后，GandCrab会在原文件名后面加上.GDCB后缀，比如test.jpg文件加密后会重命名为test.jpg.GDCB。

　　在某一时刻，GandCrab会以”C:Windowssystem32wbemwmic.exe” process call create “cmd /c start %Temp%[launched_file_name].exe”命令重新启动自己，系统会弹出如下的UAC（用户帐户控制）确认窗，如果用户不选择“Yes”，这个窗口会一直弹出。

　　当GandCrab加密完受害者机器上的文件之后，受害者机器上会出现一个名为GDCB-DECRYPT.txt的文件。GDCB-DECRYPT.txt文件内容会告知受害者当前系统上的文件已被加密，并且提供了一份网关列表让受害者可以通过Tor访问支付赎金的网址。

　　当受害者打开支付赎金的链接，会访问一个名叫“GandCrab Decryptor”的页面，这个页面上会由赎金的数量、付款的达世币（DASH）地址和一份解密过的文件。前面已经说过，目前还没有免费的方法解密由GandCrab加密的文件。

　　如何防范GandCrab

　　为了防范GandCrab，好的电脑使用习惯和安全软件十分重要。最重要的，确保你的重要文件和数据有备份，这样GandCrab就无法威胁到你。

　　你还应该在你的系统中安装安全软件，并且安装的安全软件需要具备行为检测能力来发现勒索软件，而不仅仅是签名检测或启发式检测。比如Emsisoft Anti-Malware和Malwarebytes Anti-Malware都具备行为检测能力，他们能阻止大部分（但不是全部）的勒索软件加密系统上的文件。

　　最后,请确保你践行了下面的这些安全习惯，在许多情况下他们是最好的防范措施：

　　备份，备份，备份！

　　不要打开陌生人发来的附件

　　确保附件真的是你认识的人发送的

　　使用类似VirusTotal的工具扫描收到的附件

　　确保第一时间安装系统补丁和更新！同时确保所有机器上的软件特别是Java, Flash和Adobe Reader是最新的。老版本的软件通常包含一些能被恶意软件和漏洞工具包利用的漏洞

　　确保你的系统中安装来具备行为检测能力或白名单机制的安全软件。白名单的配置非常耗时耗力，但是它往往最有效

　　使用复杂的密码，永远不要在多个地方使用同样的密码

责任编辑：韩希宇