安全狗提醒您：“俠盜病毒”卷土重來(lái)，中國(guó)成為目標(biāo)

近日,多家政府和企業(yè)單位曝出遭受勒索病毒攻擊的信息,根據(jù)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè),GandCrab V5.2 自 2019 年 3 月 11 日開(kāi)始在中國(guó)肆虐,攻擊了上千臺(tái)政府、企業(yè)以及相關(guān)科研機(jī)構(gòu)的電腦。

目前,湖北省宜昌市夷陵區(qū)政府、中國(guó)科學(xué)院金屬研究所、云南師范大學(xué)以及大連市公安局等政府、企業(yè)、高校均在其官網(wǎng)發(fā)布了防范病毒攻擊的公告。

該勒索病毒名為GandCrab V5.2,在全球范圍內(nèi)已經(jīng)攻擊了巴西、美國(guó)、印度、印度尼西亞和巴基斯坦等多個(gè)國(guó)家,目前的情況來(lái)看,中國(guó)已經(jīng)成為了該病毒的目標(biāo)之一。

01病毒背景信息

這款GandCrab勒索病毒誕生于2018年1月,是一種新型的比特幣勒索病毒。自誕生后的幾個(gè)月里,迅速成為一顆“新星”,“技術(shù)實(shí)力強(qiáng)”是該團(tuán)隊(duì)的標(biāo)簽之一。由于其既信守承諾給贖金就“解毒”,還曾“人道地”將敘利亞等戰(zhàn)亂地區(qū)排除在感染地區(qū)之外,因而也曾被人稱為“俠盜”病毒。

此前,安全狗曾針對(duì)該病毒較早的版本進(jìn)行過(guò)分析,用戶可對(duì)照進(jìn)行參考。

02病毒傳播途徑

根據(jù)目前的分析,GandCrab V5.2勒索病毒目前主要通過(guò)郵件形式攻擊。攻擊者首先會(huì)向受害人郵箱發(fā)送一封郵件,主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到!”,發(fā)件人名為“Min,Gap Ryong”,郵件附件名為“03-11-19.rar”。

受害者一旦下載并打開(kāi)該附件,GandCrab V5.2會(huì)立刻對(duì)用戶主機(jī)硬盤數(shù)據(jù)進(jìn)行全盤加密,并讓受害者訪問(wèn)特定網(wǎng)址下載Tor瀏覽器,隨后通過(guò)Tor瀏覽器登錄攻擊者的加密貨幣支付窗口,要求受害者繳納贖金。

目前此勒索病毒的主要攻擊方式,仍是郵件為主。除了垃圾郵件,GandCrab V5.2還有可能采用“網(wǎng)頁(yè)掛馬攻擊”,即除了在一些非法網(wǎng)站上投放木馬病毒,攻擊者還可能攻擊一些防護(hù)能力比較弱的正規(guī)網(wǎng)站,在取得網(wǎng)站控制權(quán)后攻擊登陸該網(wǎng)站的用戶;另外,該病毒也有可能通過(guò)CVE-2019-7238(Nexus Repository Manager 3遠(yuǎn)程代碼執(zhí)行漏洞)以及Weblogic等漏洞進(jìn)行傳播。

03目前尚無(wú)方法破解

今年2月19日,業(yè)內(nèi)曾有專家曾根據(jù)GandCrab自己給出的密鑰,研發(fā)出了GandCrab V5.1之前所有版本病毒的“解藥”,但隨后GrandCrab的技術(shù)團(tuán)隊(duì)就發(fā)布了目前肆虐的版本V5.2,至今無(wú)法破解。

目前在暗網(wǎng)中,GrandCrab幕后團(tuán)隊(duì)采用“勒索即服務(wù)”(“ransomware as-a-service” )的方式,向黑客大肆售賣V5.2版本病毒,即由GrandCrab團(tuán)隊(duì)提供病毒,黑客在全球選擇目標(biāo)進(jìn)行攻擊勒索,攻擊成功后 GrandCrab團(tuán)隊(duì)再?gòu)闹谐槿?0%-40%的利潤(rùn)。

當(dāng)前網(wǎng)絡(luò)上有人聲稱可以破解 GandCrab V5.2的企業(yè)和個(gè)人,但要求提前付費(fèi),業(yè)內(nèi)普遍認(rèn)為其根本沒(méi)有能力對(duì)病毒進(jìn)行破解,所謂的可以破解GandCrab V5.2,其實(shí)是“代理”破解,即代勒索者收取費(fèi)用,從勒索者處獲得解密密鑰(破解)。

04防御方案

針對(duì)該家族的勒索病毒,可以通過(guò)以下手段盡可能地預(yù)防

1、及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。

2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3、不要點(diǎn)擊來(lái)源不明的郵件附件,不從不明網(wǎng)站下載軟件。

4、盡量關(guān)閉不必要的文件共享權(quán)限。

5、更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。

與此同時(shí),結(jié)合安全狗的相關(guān)安全產(chǎn)品和技術(shù),我們推出了更有針對(duì)性的,從事前、事中和事后三個(gè)階段來(lái)處理和應(yīng)對(duì)的專項(xiàng)解決方案。

①事前加固

1、檢測(cè)并修復(fù)弱口令

2、制定嚴(yán)格的端口管理策略

3、設(shè)置防爆破策略

4、一鍵更新漏洞補(bǔ)丁

5、病毒木馬檢測(cè)

②事中防御

1、通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)部主機(jī)的進(jìn)程、會(huì)話、資源等指標(biāo)參數(shù)進(jìn)行監(jiān)測(cè)以發(fā)現(xiàn)異常的可疑行為。

2、結(jié)合威脅情報(bào)提供的遠(yuǎn)控或高危黑IP,感知可能正在發(fā)生的攻擊事件

③事后處置

1、隔離感染主機(jī):已中毒計(jì)算機(jī)盡快隔離,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡。 2、切斷傳播途徑:關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口,關(guān)閉異常的外聯(lián)訪問(wèn)。可開(kāi)啟IPS和僵尸網(wǎng)絡(luò)功能進(jìn)行封堵。 3、查找攻擊源:手工抓包分析或借助安全狗嘯天態(tài)勢(shì)感知平臺(tái)快速查找攻擊源,避免更多主機(jī)持續(xù)感染。 4、查殺病毒:推薦使用安全狗進(jìn)行病毒查殺,快速分析流行事件,實(shí)現(xiàn)終端威脅閉環(huán)處置響應(yīng)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。