自2018年誕生以來，GandCrab家族在國內(nèi)瘋狂擴張，逐漸成為WannaCry之后最為活躍的勒索病毒之一。在過去的一年，該病毒先后利用各種攻擊手段、多種傳播渠道對我國多個政企發(fā)起攻擊，致使多家政企機構遭受到不可逆轉的損失。

近期，騰訊安全御見威脅情報中心再次監(jiān)測捕捉到，GandCrab 5.2勒索病毒利用WinRAR漏洞(CVE-2018-20250，系unacev2.dll代碼庫高危漏洞)進行攻擊案例。攻擊者疑似將病毒偽裝成升級程序，當未修復漏洞的受害者在本地計算機嘗試解壓文件后，便會觸發(fā)漏洞利用，病毒母體則被進一步釋放到啟動目錄中。一旦用戶重啟或重新登錄系統(tǒng)，病毒將自動運行加密用戶系統(tǒng)中的所有數(shù)據(jù)文件，導致數(shù)據(jù)庫文件被加密破壞，嚴重威脅企業(yè)和個人用戶的數(shù)據(jù)文件安全。

　　(圖：GandCrab 5.2病毒解壓時，攻擊文檔會向開機啟動目錄釋放update.exe)

據(jù)騰訊安全技術專家介紹，此次GandCrab 5.2勒索病毒攻擊目標鎖定在未修補WinRAR軟件壓縮漏洞的用戶身上。攻擊者主要利用ACE文件驗證邏輯繞過漏洞(CVE-2018-20250)進行傳播，通過誘使用戶使用WinRAR打開惡意構造的壓縮包文件，將惡意代碼寫入系統(tǒng)啟動目錄或者寫入惡意dll劫持其他軟件進行執(zhí)行，實現(xiàn)對用戶主機的任意代碼執(zhí)行攻擊，最終會加密系統(tǒng)中的多種類型文件并添加.uhymsoofa隨機擴展后綴加密文件。

　　(圖：勒索說明文檔 )

今年2月21日，WinRAR系列任意代碼執(zhí)行漏洞已被國家信息安全漏洞共享平臺(CNVD)收錄，并將其綜合評級為“高危”。據(jù)了解，該漏洞不僅僅存在于WinRAR 5.7之前的版本，多款支持ACE解壓操作的工具軟件均受影響。另外該漏洞系列攻擊原理已正式公開，相關WinRAR軟件等壓縮類工具廠商已升級最新版本修復該漏洞。

針對此次GandCrab 5.2勒索病毒利用漏洞攻擊事件，騰訊安全技術專家提醒，建議盡快將WinRAR軟件等壓縮類工具升級到最新版本以修復漏洞，不要輕易下載來歷不明的壓縮文件，可有效防御攻擊者入侵。

作為技術實力派的代表，GandCrab 5.2勒索病毒在安全圈素有“進攻萬花筒”的標簽。自被曝光以來，GandCrab勒索家族先后歷經(jīng)幾次大版本迭代升級，在國內(nèi)主要利用垃圾郵件群發(fā)、魚叉定向攻擊、網(wǎng)站掛馬、RDP爆破，VNC爆破、感染移動設備，并配置自動播放模式傳播等攻擊手段。此外，該家族變種類型速度極快，一般對常規(guī)的殺毒軟件具有較強的免疫性，對主流依靠特診檢測的安全產(chǎn)品是一個極大的挑戰(zhàn)。

為避免此類攻擊事件再次發(fā)生，騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業(yè)用戶，建議盡快將WinRAR軟件等壓縮類工具升級到最新版本，或手動刪除壓縮工具目錄下的unacev2.dll文件;盡量關閉不必要的端口和文件共享;采用高強度的密碼，避免使用弱口令，并定期更換密碼;對沒有互聯(lián)需求的服務器/工作站內(nèi)部訪問設置相應控制，避免可連外網(wǎng)服務器被攻擊后作為跳板進一步攻擊其他服務器。

同時，騰訊安全專家建議終端以及服務器應部署專業(yè)安全防護軟件，例如在Web服務器部署騰訊云等具備專業(yè)安全防護能力的云服務，全面增強企業(yè)網(wǎng)絡抵御攻擊威脅的能力，以及在全網(wǎng)安裝御點終端安全管理系統(tǒng)。目前，騰訊御點終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控、修復漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護企業(yè)安全。

　　(圖：騰訊御點終端安全管理系統(tǒng))

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。