你被蟹鉗夾傷了嗎?漫談勒索軟體GandCrab
ASRC 研究中心主任 高銘鍾

還記得 2017 年 5 月,影響全球的WannaCrypt嗎?在當時全球超過 230,000 台電腦皆遭此病毒侵害,雖然此病毒要求支付價值等同於 300 美元的比特幣才可解密所有遭加密檔案,但事實上,並無法透過付款的方式解密。WannaCrypt 是透過 Windows 作業系統的漏洞,以蠕蟲方式進行傳播擴散,微軟也因為這個事件,破例對已當時停止技術支援的 Windows XP 釋出修補程式。這個事件是一個經典,也讓許多人見識到了勒索軟體的影響力。

好一陣子,勒索軟體的音量,似乎在各種流行的資訊安全威脅中顯得小了,勒索軟體是否就此絕跡?抑或風險有趨緩的現象?觀察 GandCrab 的演化史,或許能給出一些客觀的答案。

GANDCRAB簡史

GandCrab 第一次被注意到是在 2018 年1月,由羅馬尼亞的安全公司 Bitdefender、羅馬尼亞警政署、歐洲刑警組織聯手揭露了這個惡意勒索軟體。很快的,就由 Bitdefender 安全研究員根據 GandCrab 的加密缺陷,破解並釋出了免費解密工具,這是 GandCrab 1.0。

但這個勒索病毒的開發者十分積極,很快地在同年 3 月 5 日、 5 月 3 日先後釋出 GandCrab 2.0 與 3.0 版本。2.0 版本增加了 QR code 功能,而 3.0 在感染後將病毒加為開機執行項目,並強制關機,下一次開機時會造成作業系統變慢或進不了作業系統,成功進入作業系統後則出現黑色畫面,並提示受害者已遭勒索軟體感染。2018 年 7 月,GandCrab 進化至 4.0 版本,增加了許多提示受害人付錢的說明,以及 Tor 通道,並開始提供檔案免費解密的驗證服務。9 月時,5.0 版面世,GandCrab 開發團隊與供應惡意軟體加密工具(Crypter)的組織 NTCrypt 結盟,並舉辦折扣活動,提供購買解密 GandCrab 的客戶。而 GandCrab 最新版是 2019 年 2 月 19 日左右所推出的 5.2 版。

GandCrab 在網路上有段軼聞,一位在敘利亞的父親不幸感染了 GandCrab 後,再也不能看到他因戰爭而喪身的兒子照片,由於這個父親在推特上發文說出了這個情況,GandCrab 的製造者看到隨即發了道歉文,並釋出解密金鑰,隨後更新了 GandCrab 版本,將敘利亞地區列為不受感染的白名單。因為這個事件,開始有人對此惡意軟體心生好感,並稱其為「俠盜」。事實上,該故事的父親本來不需要遭受到 GandCrab 困擾的;而放過敘利亞,荼毒其他國家也非正義!去認同加害者的觀點和想法,並不理性,這是典型的「斯德哥爾摩症候群」。

傳播

事實上,GandCrab 每個版本間的變化並不是太大,但是它傳播管道極為多元。在最初期版本,GandCrab 主要用 RIG ExploitKit 和 GandSoft ExploitKit 兩個開發工具包進行分發,進行水坑式攻擊 (Watering hole) 或路過式下載 (Drive-by download):攻擊者嘗試製作出網頁亂碼,以解決頁面亂碼之由,誘導受害者下載由 GandCrab 偽裝的字體更新進行感染;或喬裝成軟體破解檔、為正版商用軟體之類,誘騙受害者執行 GandCrab。

後續版本則擴張到使用暴露於網路上的遠端桌面、僵屍網路、滲透工具、經由木馬程式挾帶的做法。而 5.0.2 版,開始大量利用釣魚郵件,觸發後以 PowerShell 執行指令碼,埋藏在記憶體內暗中運作,並會在受害者電腦中嘗試利用 CVE-2018-8440 以及 CVE-2018-8120 漏洞進行提權。


透過電子郵件發送 GandCrab v5.1 版的前導攻擊惡意文件


日本地區常見的 GandCrab 惡意郵件攻擊主旨統計,除了表情符號外,還有許多女星的名字
(引用自Twitter@gorimpthon)

至於流行的地區,則可說全球都有其蹤跡,亞洲地區受害國家最大宗是南韓,其次為中國。某些作業系統雖觸發了 GandCrab 這個勒索軟體,但因為這個勒索軟體內建作業系統語系白名單的緣故,只要是使用該白名單語系的作業系統,就不會進行後續的加密程序,這些白名單的作業系統語系分別為:俄羅斯、烏克蘭、比利時、塔吉克、亞美尼亞、亞塞拜然、喬治亞、吉爾吉斯坦、土庫曼、烏茲別克、韃靼斯坦、敘利亞、阿拉伯…等。

感染兩三事

當 GandCrab 被觸發後,首先會將它自己複製到 %AppData%\Microsoft\[RANDOM NAME] ,接下來查找下列應用程序,並嘗試將它們關閉:
msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlservr.exe、sqlwriter.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesktopqos.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe、agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe。
接著,它會嘗試向外連線至內建的上千個獨立主機列表,連線成功後,它會開始進行感染主機的加密。

勒索軟體的目標是取財,為免受害人的電腦完全不能使用或無法連線付款解鎖的網頁,GandCrab 會避開這些資料夾不加密:
.bat、.cab、.cmd、.cpl、.cur、.diagcab、.diagpkg、.dll、.drv、.exe、.hlp、.icl、.icns、.ico、.ics、.idx、.key、 .ldf、.lnk、.lock、.mod、.mpa.msc、.msp、.msstyles、.msu、.nomedia、.ocx、.prf、.rom、.rtp、.scr、 .shs.spl、.sql、.sys、.theme、.themepack、autorun.inf、boot.ini、bootsect.bak、desktop.ini、iconcache.db、ntuser.dat、ntuser.dat.log、thumbs.db、.gandcrab
為避免受害人付了錢無法解密,GandCrab 也會避免再次加密過去已被它加密的檔案,因此也會避開遭到感染的副檔名如:.CRAB、.KRAB。

完成加密後,會在每個遭到加密的資料,依不同的 GandCrab 版本,放置一個對應的說明文件,如: GDCB-DECRYPT.txt,或是 KRAB-DECRYPT.txt,文件的內容就是告訴受害者現在所遭遇的狀況描述,以及提供可以付款解密的管道。遭到加密的檔案,依 GandCrab 版本的不同,有不一樣的副檔名:1.0 被加密的檔案副檔名為 .GDCB;v2.0、3.0 副檔名為 .CRAB;4.0 是 .KRAB;5.0 以後版本,其副檔名為5-10碼隨機字母。如同過去的勒索軟體,勒索的有價標的多半是虛擬貨幣,GandCrab 也不例外,它要求的是 Bitcoin、DASH 或其他虛擬貨幣。

解密

第一版 GandCrab 的開發較為生疏青澀,因此,在很短的時間,即有安全研究員破解其中加密缺陷,而釋出免費的解密工具;隨著 GandCrab 每一版的演進,解密工具也都順利地透過找到其中缺陷而推出。GandCrab 4.0 版幾乎都可以被免費解密了,但 GandCrab 的開發者似乎也發現了這個問題,在安全研究員釋出 5.0.4 及 5.1 的解密工具的24小時內, GandCrab 的開發者就修補了勒索軟體的缺陷,造成修正後的 5.0.4 、 5.1 及最新的 5.2 版,目前還是無解的情況。

觀點

根據ASRC安全團隊觀察,不僅是 GandCrab 這隻勒索軟體,所有的勒索軟體的感染入侵管道大約可分類為下面幾種:

  • 透過暴露在防火牆外的服務,尤其是帶有未修補漏洞,或可被濫用嘗試登入的服務。
  • 透過瀏覽器未修補漏洞入侵。
  • 透過電子郵件寄送夾帶前導攻擊程式的惡意連結或檔案,再以社交工程手法誘使受害人開啟。
  • 偽裝為破解檔程式、修補軟體、網頁字形,誘使受害人執行安裝。

知道了入侵的管道與手法,我們建議可先盤點並以防火牆管控、封閉不必要暴露在網路上的服務,或至少,對於嘗試登入失敗的次數做限制並監控。再者,以安全的瀏覽器,並時時保持更新,盡可能減少瀏覽器的外掛的使用,以降低上網瀏覽及遭到入侵的風險,還有,別忽視搜尋引擎或瀏覽器發出的安全警示。架構一個安全的郵件過濾機制,已是基本的資安防護措施,畢竟電子郵件是數年來駭客入侵的首選重要管道!最後,作業系統本身會避免外來程式自動執行,但卻無法避免人為允許的操作,社交工程手法主要攻擊的對象是人,除了盡可能地隔離惡意程序與人接觸外,基本的資安教育訓練與警覺心是必須的。

除了做好上述的風險避免之外,面對勒索軟體的議題,建議您,還是應該有定期的離線備份策略。萬一因意外造成重要資料被加密時,除了向駭客低頭付贖外,您還有從備份檔資料還原的選項。我們並不推薦任何向駭客付贖以取回檔案的行動,這樣的行動,等於是變相鼓勵了攻擊者,而支持他們的行為。 資安防護議題不是一個簡單的單一層面的問題,也從未有單一特定產品可解決所有的安全問題。在仰賴資訊科技的時代,面對資安問題,沒有誰能置身事外的。資安問題是一個動態、持續建構與改善的防禦工事,若能有好的產品、優秀的協防顧問團隊,將使您面對資安問題更能事半功倍。

回到列表