等保门户网: 测评整改

【勒索病毒预警】GandCrab勒索病毒更新至V5.2,影响范围甚广

来源:admin 发布日期:2019-03-14

曾经在短短两个月时间内让犯罪分子获利近60万美元的勒索病毒GandCrab V5.1在北京时间2月19日已升级到V5.2版本,病毒此次更新主要是为了应对V5.1版本密钥泄露问题,更换了加密使用的主密钥,同时升级后的病毒开启了新的传播方式。截止目前,已有相当部分用户遭受GandCrab V5.2勒索病毒的攻击,望广大网民予以重视。
病毒描述
Gandcrab是首个以达世币(DASH)作为赎金的勒索病毒,用户中毒后文件无法打开,桌面背景图片被修改为勒索信息,同时桌面会自动生成一个勒索文档,向受害者勒索价值约1200美元的达世币赎金。由于GandCrab勒索病毒使用Salsa20算法加密文件,使用RSA算法加密密钥。因此想要解密文件,必须获得解密密钥。由于暗网的匿名性导致控制服务器较难追踪,因此大量受害者不得不通过交纳赎金才可以解密文件。
相比于之前的版本V5.1,V5.2整体执行的功能没有太大变化。只是病毒代码内部使用的部分API函数字符串被加密,主要是为了对抗静态分析和杀软扫描。病毒仍然使用Salsa20加密文件,RSA算法加密Salsa20密钥,没有攻击者的RSA私钥无法解密文件,使用生成的随机后缀对加密后的文件进行命名。
GandCrab勒索病毒家族在国内传播广泛,已经感染了50多万名用户,并且还有持续爆发趋势,可使用U盘蠕虫、下载器、远程桌面爆破、永恒之蓝漏洞等各种方式传播,而这次病毒传播者又开启了挂马传播技能,对个人用户危害严重!
在2019年,GandCrab又开启新传播方式——利用网页挂马进行传播。挂马站点在色情站点投放广告,利用色情站点跳转挂马页面实施攻击。本次主要利用了Fallout Exploit Kit工具,Fallout Exploit Kit近期做过一次更新,添加了对CVE-2018-4878(Adobe Flash Player漏洞)、CVE-2018-8174(Windows VBScript引擎远程代码执行漏洞)的漏洞利用。
传播方式
通过远程桌面入侵、邮件、漏洞、垃圾网站挂马等方式传播,不具备内网传播能力。
病毒防御
1、及时更新系统补丁,防止受到漏洞攻击;
2、对重要的数据文件定期进行异地备份;
3、从正规(官网)途径下载需要的软件;
4、不要打开来源不明的邮件链接及附件;
5、尽量关闭不必要的文件共享服务和远程桌面服务;
6、修改计算机账户密码为强密码,避免使用通用密码;
7、安装可靠的杀毒软件,及时升级病毒库;
8、寻找可靠的数据恢复团队进行解密。
来源:CSPEC 立体防护

【关闭】 【打印】

您是第 47409141 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号