信息來源：4hou

研究人員近日發(fā)現(xiàn)一起新的垃圾郵件活動，垃圾郵件活動會發(fā)送收件人所在建筑物的緊急出口圖給收件人，緊急出口圖同時也被用戶安裝GandCrab勒索軟件。

據(jù)Myonlinesecurity.co.uk消息，之前在傳播Ursnif銀行木馬的服務(wù)器現(xiàn)在開始推送GandCrab v5.1勒索軟件了。

BleepingComputer決定深入分析傳播的垃圾郵件和文件，以確定活動的工作原理。

最新的垃圾郵件活動假裝發(fā)送給接收者所在建筑物的緊急出口圖。郵件稱來自Rosie L. Ashton，主題是Up to datе еmеrgеnсy еxit map（最新緊急出口圖），附件中有一個名為Emergencyexitmap.doc的word文檔。

打開附件后，用戶可以看到內(nèi)容Emergency exit map，和彈窗“enable content”。

惡意word文檔

如果用戶點擊Enable Content，word宏就會執(zhí)行PowerShell腳本在計算機上下載和安裝GandCrab v5.1勒索軟件。

混淆的宏

從上面可以看出， PowerShell腳本被混淆了，這樣就很難看出到底發(fā)生了什么。

混淆的word宏

解混淆后，可以看出宏文件會從http://cameraista.com/olalala/putty.exe下載一個名為putty.exe文件，并保存為C:\Windows\temp\putty.exe，然后執(zhí)行putty.exe。

反混淆的PowerShell腳本

putty.exe可執(zhí)行文件其實就是GandCrab 5.1，執(zhí)行后會開始加密計算機上的文件。就像之前的GandCrab一樣，GandCrab會繼續(xù)加密文件并在文件名中加入隨機的擴展。

GandCrab 5.1加密的文件

在加密計算機時，GandCrab還會在每個加密的文件夾中創(chuàng)建勒索信息。勒索信息表明GandCrab的版本是v5.1，并給出如何支付贖金的指示。

GandCrab 5.1勒索信息

目前還無法解密GandCrab 5.1加密的文件。這也給我們一個啟示就是，不要隨便打開郵件中的附件，除非你很清除郵件的發(fā)送者以及附件中的內(nèi)容。研究人員還建議打開附件前使用殺毒軟件對文檔進行掃描。