近日,多家政府和企業(yè)單位曝出遭受勒索病毒攻擊的信息,根據(jù)國家網(wǎng)絡(luò)與信息安全信息通報中心監(jiān)測,GandCrab V5.2 自 2019 年 3 月 11 日開始在中國肆虐,攻擊了上千臺政府、企業(yè)以及相關(guān)科研機(jī)構(gòu)的電腦。

目前,湖北省宜昌市夷陵區(qū)政府、中國科學(xué)院金屬研究所、云南師范大學(xué)以及大連市公安局等政府、企業(yè)、高校均在其官網(wǎng)發(fā)布了防范病毒攻擊的公告。

該勒索病毒名為GandCrab V5.2,在全球范圍內(nèi)已經(jīng)攻擊了巴西、美國、印度、印度尼西亞和巴基斯坦等多個國家,目前的情況來看,中國已經(jīng)成為了該病毒的目標(biāo)之一。

01病毒背景信息

這款GandCrab勒索病毒誕生于2018年1月,是一種新型的比特幣勒索病毒。自誕生后的幾個月里,迅速成為一顆“新星”,“技術(shù)實力強(qiáng)”是該團(tuán)隊的標(biāo)簽之一。由于其既信守承諾給贖金就“解毒”,還曾“人道地”將敘利亞等戰(zhàn)亂地區(qū)排除在感染地區(qū)之外,因而也曾被人稱為“俠盜”病毒。

此前,安全狗曾針對該病毒較早的版本進(jìn)行過分析,用戶可對照進(jìn)行參考。

02病毒傳播途徑

根據(jù)目前的分析,GandCrab V5.2勒索病毒目前主要通過郵件形式攻擊。攻擊者首先會向受害人郵箱發(fā)送一封郵件,主題為“你必須在3月11日下午3點(diǎn)向警察局報到!”,發(fā)件人名為“Min,Gap Ryong”,郵件附件名為“03-11-19.rar”。

受害者一旦下載并打開該附件,GandCrab V5.2會立刻對用戶主機(jī)硬盤數(shù)據(jù)進(jìn)行全盤加密,并讓受害者訪問特定網(wǎng)址下載Tor瀏覽器,隨后通過Tor瀏覽器登錄攻擊者的加密貨幣支付窗口,要求受害者繳納贖金。

目前此勒索病毒的主要攻擊方式,仍是郵件為主。除了垃圾郵件,GandCrab V5.2還有可能采用“網(wǎng)頁掛馬攻擊”,即除了在一些非法網(wǎng)站上投放木馬病毒,攻擊者還可能攻擊一些防護(hù)能力比較弱的正規(guī)網(wǎng)站,在取得網(wǎng)站控制權(quán)后攻擊登陸該網(wǎng)站的用戶;另外,該病毒也有可能通過CVE-2019-7238(Nexus Repository Manager 3遠(yuǎn)程代碼執(zhí)行漏洞)以及Weblogic等漏洞進(jìn)行傳播。

03目前尚無方法破解

今年2月19日,業(yè)內(nèi)曾有專家曾根據(jù)GandCrab自己給出的密鑰,研發(fā)出了GandCrab V5.1之前所有版本病毒的“解藥”,但隨后GrandCrab的技術(shù)團(tuán)隊就發(fā)布了目前肆虐的版本V5.2,至今無法破解。

目前在暗網(wǎng)中,GrandCrab幕后團(tuán)隊采用“勒索即服務(wù)”(“ransomware as-a-service” )的方式,向黑客大肆售賣V5.2版本病毒,即由GrandCrab團(tuán)隊提供病毒,黑客在全球選擇目標(biāo)進(jìn)行攻擊勒索,攻擊成功后 GrandCrab團(tuán)隊再從中抽取30%-40%的利潤。

當(dāng)前網(wǎng)絡(luò)上有人聲稱可以破解 GandCrab V5.2的企業(yè)和個人,但要求提前付費(fèi),業(yè)內(nèi)普遍認(rèn)為其根本沒有能力對病毒進(jìn)行破解,所謂的可以破解GandCrab V5.2,其實是“代理”破解,即代勒索者收取費(fèi)用,從勒索者處獲得解密密鑰(破解)。

04防御方案

針對該家族的勒索病毒,可以通過以下手段盡可能地預(yù)防

1、及時給電腦打補(bǔ)丁,修復(fù)漏洞。

2、對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3、不要點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。

4、盡量關(guān)閉不必要的文件共享權(quán)限。

5、更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因為統(tǒng)一的密碼會導(dǎo)致一臺被攻破,多臺遭殃。

與此同時,結(jié)合安全狗的相關(guān)安全產(chǎn)品和技術(shù),我們推出了更有針對性的,從事前、事中和事后三個階段來處理和應(yīng)對的專項解決方案。

①事前加固

1、檢測并修復(fù)弱口令

2、制定嚴(yán)格的端口管理策略

3、設(shè)置防爆破策略

4、一鍵更新漏洞補(bǔ)丁

5、病毒木馬檢測

②事中防御

1、通過對網(wǎng)絡(luò)內(nèi)部主機(jī)的進(jìn)程、會話、資源等指標(biāo)參數(shù)進(jìn)行監(jiān)測以發(fā)現(xiàn)異常的可疑行為。

2、結(jié)合威脅情報提供的遠(yuǎn)控或高危黑IP,感知可能正在發(fā)生的攻擊事件

③事后處置

1、隔離感染主機(jī):已中毒計算機(jī)盡快隔離,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡。 2、切斷傳播途徑:關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口,關(guān)閉異常的外聯(lián)訪問。可開啟IPS和僵尸網(wǎng)絡(luò)功能進(jìn)行封堵。 3、查找攻擊源:手工抓包分析或借助安全狗嘯天態(tài)勢感知平臺快速查找攻擊源,避免更多主機(jī)持續(xù)感染。 4、查殺病毒:推薦使用安全狗進(jìn)行病毒查殺,快速分析流行事件,實現(xiàn)終端威脅閉環(huán)處置響應(yīng)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。