一，活动概述 最近，有自信心的安全团队接到了包括金融行业以外的好几家公司的反馈，他们的内部人员接到了异常的电子邮箱。

电子邮箱的发件人显示为“国家税务局”（信函汉语翻译为“国家税务局”），电子邮件地址为lijinho@cgov.us，致力于装扮成美政府特定的电子邮件地址政府.us，电子邮箱的内容是电子邮件的收货人。作为被上诉人的审理，详细信息载于所附文件： 附注归档包括两个文件，这些文件看上去像与实例相关的文档文件，尾缀为“.docx”。

见到这两个文件，我当时一定想到了“刻骨铭心起诉”的接受者，但我也不知道这正好深陷了犯罪嫌疑人的圈套当设置“撤销己知文件类型的扩展名”设置时，装扮成文本文档的两个文件显示其真实颜色。它们事实上是两个exe文件。

这两个文件的到底是谁事实上是GandCrab5.4勒索软件。 GandCrab保释金病毒感染是2018年保释金病毒感染家族中最活跃性的家族。

保释金病毒感染初次出现于2018年1月。近些年来，它经历了四次保释金病毒感染更新。有很多种不同的种类，所使用的技术也在不断升级。勒索软件主要使用RSA密匙加密技术，造成无法破译的加密文件。 GandCrab 1.1是GandCrab系列的最新版。最近，通过上传故意电子邮箱在某国发生了更多进攻。电子邮箱的内容通常令人生畏。如果收货人一不小心点击了电子邮箱附注，则会被敲诈勒索。我深信，提示用户打开模糊不清来源的电子邮件。  

二，试品分析 1. GandCrab 1.1还使用代码混淆等技术来阻拦安全投资分析师按如下方式分析样版：

 2.还搜集有关中毒了服务器的信息

 3.获得GandCrab版本信息

4.建立一个互斥自变量

5.破译新的RSA密匙信息

6.从运行内存中破译相应的尾缀信息，以下尾缀文件夹名称，不数据加密，如图所示：

 7.使用相应的尾缀名字加密文件

8.按如下如图设置相应的密匙注册表项：

 设置完成后，它看上去像这样：

9.破译相应的勒索软件

4.除此之外，如果它在一些文件目录中，则不会数据加密，

11.勒索软件信息被载入勒索软件文本文档，

相应的勒索软件信息如下：

12.遍历数据加密的相应文件，如下如图：

13.加密文件是随机文件名后缀，以前在运行内存中破译

加密文件如下： 19.jpg  14.还与远程服务器通讯，地址与之前的GandCrab5.3相同

服务器地址：WWW.kakaocorp.link 5.敲诈勒索职责范围地址如下： .com://gandcrabmfe6mnef.onion/4cccd561a9e9938 通常情况下，GandCrab5.4和GandCrab5.3也没有很大的更新，基本要素相一致，加密技术也采用RSA + Salsa20组合加密技术，GandCrab黑道更新GandCrab5.4版主要是为了处理以前公布的破译工具。