一站式信息安全服务专家
提供安全架构、被动防御、积极防御、威胁情报分析等完整安全服务商
2018连遭5次迭代,GandCrab勒索病毒再出“2019版”
来源:亚信安全 | 作者:iFortress | 发布时间: 532天前 | 1533 次浏览 | 分享到:
病毒预警
GandCrab勒索病毒是2018年勒索病毒家族中最为活跃的家族,该勒索病毒首次出现于2018年1月,在将近一年的时间内,经历了五大版本的更新迭代,该勒索病毒的传播感染方式多种多样,使用的技术也不断升级,其采用高强度加密算法,导致加密后的文件很难解密。近日,GandCrab勒索病毒又被发现新版本,亚信将此类勒索病毒命名为Ransom_GandCrab,其中GandCrab 5.0.4被命名为Ransom_GandCrab.THAOOBAH。

GandCrab 5.0.4病毒技术细节

GandCrab 5.0.4病毒使用PowerShell解码并最终注入到PowerShell进程中执行,加密文件扩展后缀为随机字符。其不仅加密本机文件,还会加密局域网共享目录中的文件,加密完成后会修改被感染机器桌面壁纸,进一步提示用户勒索信息,其勒索金额较之前几个版本有大幅提高。

主要传播方式

  • RDP和VNC爆破入侵;

  • 垃圾邮件传播;

  • U盘、移动硬盘传播;

  • 捆绑、隐藏在一些破解、激活、游戏工具中传播;

  • 感染Web/FTP服务器目录传播;

  • 利用RigEK、FalloutEK漏洞工具包,进行网页挂马攻击。

 

该病毒会获取当前输入法和语言版本信息,如果发现是如下语言版本信息,病毒将会退出,避免加密主机中的文件:



教你如何防范

 

  • 尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆;

  • 尽量关闭不必要的文件共享;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 不要点击来源不明的邮件以及附件;

  • 及时更新系统,更新应用程序;打全系统及应用程序补丁程序;

  • 请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。