如何应对以"钓鱼"邮件传播的GandCrab5.2“侠盗病毒”（邮箱防御）

摘要：针对近期大家谈之色变的GandCrab V5.2“侠盗病毒”，主要通过邮件附件的方式进行传播。对此“毒邮件”，都有哪些应对措施？本文教你几招专业的防御和鉴别方法。

一、GandCrab V5.2病毒简述

自GandCrab V5.1版本的勒索病毒被成功解密后不久，GandCrab家族病毒就进行了再次更新，现版本已经升为了GandCrab V5.2，并还在不断升级新的变种中。

相比于之前的版本，GandCrab V5.2版病毒整体执行的功能没有太大变化，只是病毒代码内部使用的部分API函数字符串被加密，主要是为了对抗静态分析和*软扫描。

病毒仍然使用Salsa20加密文件，RSA算法加密Salsa20密钥，若没有攻击者的RSA私钥则无法解密文件。

GandCrab V5.2病毒一览图

二、GandCrab V5.2病毒的感染途径

通过对GandCrabV5.2病毒抽样分析，发现该病毒与GandCrab勒索软件系列的其他版本，传播途径上并无太大差异，目前主要的传播途径依然是以下两种方式为主：

1. 以邮件附件方式发送给受害者的电子邮箱；

2. 以文件为载体上传到受感染的网站。

鉴于电子邮件传播方式的便捷性和广泛的受众群体，所以在以上两种主要传播途径中，电子邮件的感染途径所占比重最大。

三、GandCrab V5.2病毒的邮件防御

目前的网络安全界，正在着手对GandCrab V5.2进行破解和解密，但如果没有攻击者RSA私钥，则很难对已感染者进行解密。

目前最为有效的方式，是病毒感染前的预防和拦截隔离。

自2019年3月GandCrab V5.2病毒在我国初露端倪，MailData邮件安全便与瑞星联合进行了此病毒的防御破解研究，通过对大量样本的采集与研究。虽然目前业界还未能对已感染者进行解密，但已可以对邮件传播过程中的GandCrab V5.2进行隔离，目前的防御隔离指数为100%。

GandCrab V5.2病毒扫描日志

四、勒索邮件鉴别

对于尚未采用邮件安全防护措施的邮件使用者，MailData邮件安全通过对病毒样本的分析，为邮件使用者提供简单鉴别、深度鉴别与其他鉴别共3种电子邮件健康度鉴别方法。

1. 简单鉴别：

不采用技术手段，仅通过对邮件日常使用习惯的分析，也可以轻松做到电子邮件的初步鉴别与分析：

· 鉴别发信人是否为自己的常用联系人。若非自己的常用联系人，且含有附件或正文中有嵌入链接，一定要警惕。

· 勿打开未知发信人等不明来路的邮件附件。邮件附件多采用伪装图片、发票、收据等看似重要的文件，以引起人们的兴趣点击而执行感染。

· 收到泛称邮件，应引起警惕。如下图所示的病毒样本，若为真实的政府公文，必然会有对收信人的称呼。但因病毒传播者但很难知晓受害者的真实身份与称呼，故邮件正文中的信息从语意中均为泛称。其他诸如账单、公函、票据、合同等内容邮件同理。

· 看正文措辞。对使用“亲爱的用户”“亲爱的同事”等一些泛化问候的邮件应保持警惕，同时也要对任何制造紧急气氛的邮件提高警惕，如要求“请务必今日下班前完成”，这是让人慌忙中犯错的手段之一。

GandCrab V5.2病毒样本

2. 深度鉴别：

基于邮件的特性，病毒邮件的传播并不会采用我们正常的邮件书写和发送方式进行传播，多数采用匿名群发的手段进行传播。

对于发送行为方式异常的邮件，我们可以通过对其“邮件头”信息的分析，更精准地鉴别出该邮件是否为一封健康的正常邮件。

· 鉴别发信人身份与内容的一致性。如上图病毒样本所示， jae-hyun@idabostian.com是邮件的发送人，其邮件域为 “ idabostian.com ”，而邮件内容却是伪造的公安部公文信息。通过搜索，我们不难查找到文中所提到单位的真实邮件域名。所以若收到邮件的发信人与内容所述身份不一致时，基本可对邮件进行隔离处理。

· 邮件来源追溯。电子邮件的“邮件头”信息会清晰地记录一封mail的投递路径和详细路由信息，所以我们通过对电子邮件“邮件头”的分析，也可以得出邮件投递行为是否异常的结论。还是以这封病毒邮件样本为例，通过客户端或者WebMail方式，均可查看到电子邮件的“邮件头”信息。