緊急預(yù)警！GandCrab 5.0勒索病毒來襲 勒索金額翻倍達(dá)998美元

近日，騰訊智慧安全御見威脅情報(bào)中心監(jiān)測，發(fā)現(xiàn)GandCrab勒索病毒家族已升級到5.0版本，利用多種方式重點(diǎn)針對企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊傳播，一旦企業(yè)信息系統(tǒng)遭遇攻擊，將暫時無法解密。被攻擊的企業(yè)用戶若沒有及時對重要系統(tǒng)數(shù)據(jù)進(jìn)行備份，會遭受不可逆轉(zhuǎn)的損失，網(wǎng)絡(luò)安全受到嚴(yán)重威脅。

據(jù)騰訊智慧安全技術(shù)安全專家介紹，目前捕獲的GandCrab勒索病毒5.0版PayLoad使用PowerShell解碼并最終注入到PowerShell進(jìn)程中執(zhí)行，主要變化在于加密文件擴(kuò)展名后綴隨機(jī)生成5位英文字符。同時該病毒完成加密后會修改用戶桌面壁紙，以此進(jìn)一步提示用戶勒索信息。目前，GandCrab勒索病毒5.0版的勒索金額也水漲船高，由此前的499美元提升到了998美元，漲幅接近一倍。

(圖：要求受害者支付998美元的比特幣或達(dá)世幣來購買解密工具)

作為2018年最為活躍的勒索病毒家族之一，GandCrab勒索病毒從年初出現(xiàn)至今已完成5次大版本升級，利用Seamless惡意廣告軟件、水坑攻擊、郵件傳播、GrandSoft漏洞利用工具包等多種方式進(jìn)行傳播，同時其變種更新速度快，平均每兩個月完成一次變種，威脅用戶的網(wǎng)絡(luò)安全。

分析發(fā)現(xiàn)，在局域網(wǎng)內(nèi)部，勒索病毒GandCrab 5.0通過感染U盤、硬盤壓縮文件、網(wǎng)頁目錄傳播，局域網(wǎng)內(nèi)爆破VNC 5900端口、RDP3389弱口令傳播，安全措施不足的企業(yè)內(nèi)網(wǎng)將受到?jīng)_擊。例如，該病毒會感染U盤、移動硬盤，并配置自動播放模式傳播，在其他電腦插上已染毒U盤時病毒程序得以自動運(yùn)行。而硬盤Web目錄受到感染后，會用病毒程序覆蓋該目錄下的EXE文件。如果該目錄被發(fā)布到網(wǎng)站，下載程序的電腦就可能中毒，利用RigEK、FalloutEK漏洞工具包，進(jìn)行網(wǎng)頁掛馬攻擊等。值得一提的是，和以往的版本一樣，GandCrab 5.0勒索病毒檢測到系統(tǒng)為俄語版本或多個俄語系國家時，會停止運(yùn)行，并刪除自身。

就目前來看，GandCrab勒索病毒家族對企業(yè)和個人用戶均會造成嚴(yán)重的威脅。二者的區(qū)別在于遭遇勒索病毒之后，個人用戶會可以選擇重裝系統(tǒng)，但企業(yè)用戶一旦“中招”將會蒙受重大損失，部分沒有可靠備份系統(tǒng)的企業(yè)，往往會被勒索成功。

為避免此類攻擊事件再次發(fā)生，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大企業(yè)網(wǎng)管，建議修改管理后臺默認(rèn)頁面路徑，設(shè)置白名單限制登錄，修改弱口令密碼，避免服務(wù)運(yùn)行高權(quán)限;盡量關(guān)閉不必要的端口，對3389端口可進(jìn)行白名單配置;采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼。建議服務(wù)器密碼使用高強(qiáng)度且無規(guī)律密碼，并且強(qiáng)制要求每個服務(wù)器使用不同密碼管理。

(圖：企業(yè)級產(chǎn)品騰訊御點(diǎn))

同時，馬勁松建議終端以及服務(wù)器部署專業(yè)安全防護(hù)軟件，例如在Web服務(wù)器部署騰訊云等具備專業(yè)安全防護(hù)能力的云服務(wù)，全面增強(qiáng)企業(yè)網(wǎng)絡(luò)抵御攻擊威脅的能力，以及在全網(wǎng)安裝御點(diǎn)終端安全管理系統(tǒng)。御點(diǎn)終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。