近日,多家政府和企業(yè)單位曝出遭受勒索病毒攻擊的信息,根據(jù)國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測,GandCrab V5.2 自 2019 年 3 月 11 日開始在中國肆虐,攻擊了上千臺(tái)政府、企業(yè)以及相關(guān)科研機(jī)構(gòu)的電腦。
目前,湖北省宜昌市夷陵區(qū)政府、中國科學(xué)院金屬研究所、云南師范大學(xué)以及大連市公安局等政府、企業(yè)、高校均在其官網(wǎng)發(fā)布了防范病毒攻擊的公告。
該勒索病毒名為GandCrab V5.2,在全球范圍內(nèi)已經(jīng)攻擊了巴西、美國、印度、印度尼西亞和巴基斯坦等多個(gè)國家,目前的情況來看,中國已經(jīng)成為了該病毒的目標(biāo)之一。
01病毒背景信息
這款GandCrab勒索病毒誕生于2018年1月,是一種新型的比特幣勒索病毒。自誕生后的幾個(gè)月里,迅速成為一顆“新星”,“技術(shù)實(shí)力強(qiáng)”是該團(tuán)隊(duì)的標(biāo)簽之一。由于其既信守承諾給贖金就“解毒”,還曾“人道地”將敘利亞等戰(zhàn)亂地區(qū)排除在感染地區(qū)之外,因而也曾被人稱為“俠盜”病毒。
此前,安全狗曾針對該病毒較早的版本進(jìn)行過分析,用戶可對照進(jìn)行參考。
02病毒傳播途徑
根據(jù)目前的分析,GandCrab V5.2勒索病毒目前主要通過郵件形式攻擊。攻擊者首先會(huì)向受害人郵箱發(fā)送一封郵件,主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到!”,發(fā)件人名為“Min,Gap Ryong”,郵件附件名為“03-11-19.rar”。
受害者一旦下載并打開該附件,GandCrab V5.2會(huì)立刻對用戶主機(jī)硬盤數(shù)據(jù)進(jìn)行全盤加密,并讓受害者訪問特定網(wǎng)址下載Tor瀏覽器,隨后通過Tor瀏覽器登錄攻擊者的加密貨幣支付窗口,要求受害者繳納贖金。
目前此勒索病毒的主要攻擊方式,仍是郵件為主。除了垃圾郵件,GandCrab V5.2還有可能采用“網(wǎng)頁掛馬攻擊”,即除了在一些非法網(wǎng)站上投放木馬病毒,攻擊者還可能攻擊一些防護(hù)能力比較弱的正規(guī)網(wǎng)站,在取得網(wǎng)站控制權(quán)后攻擊登陸該網(wǎng)站的用戶;另外,該病毒也有可能通過CVE-2019-7238(Nexus Repository Manager 3遠(yuǎn)程代碼執(zhí)行漏洞)以及Weblogic等漏洞進(jìn)行傳播。
03目前尚無方法破解
今年2月19日,業(yè)內(nèi)曾有專家曾根據(jù)GandCrab自己給出的密鑰,研發(fā)出了GandCrab V5.1之前所有版本病毒的“解藥”,但隨后GrandCrab的技術(shù)團(tuán)隊(duì)就發(fā)布了目前肆虐的版本V5.2,至今無法破解。
目前在暗網(wǎng)中,GrandCrab幕后團(tuán)隊(duì)采用“勒索即服務(wù)”(“ransomware as-a-service” )的方式,向黑客大肆售賣V5.2版本病毒,即由GrandCrab團(tuán)隊(duì)提供病毒,黑客在全球選擇目標(biāo)進(jìn)行攻擊勒索,攻擊成功后 GrandCrab團(tuán)隊(duì)再從中抽取30%-40%的利潤。
當(dāng)前網(wǎng)絡(luò)上有人聲稱可以破解 GandCrab V5.2的企業(yè)和個(gè)人,但要求提前付費(fèi),業(yè)內(nèi)普遍認(rèn)為其根本沒有能力對病毒進(jìn)行破解,所謂的可以破解GandCrab V5.2,其實(shí)是“代理”破解,即代勒索者收取費(fèi)用,從勒索者處獲得解密密鑰(破解)。
04防御方案
針對該家族的勒索病毒,可以通過以下手段盡可能地預(yù)防
1、及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。
2、對重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。
3、不要點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。
4、盡量關(guān)閉不必要的文件共享權(quán)限。
5、更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。
與此同時(shí),結(jié)合安全狗的相關(guān)安全產(chǎn)品和技術(shù),我們推出了更有針對性的,從事前、事中和事后三個(gè)階段來處理和應(yīng)對的專項(xiàng)解決方案。
①事前加固
1、檢測并修復(fù)弱口令
2、制定嚴(yán)格的端口管理策略
3、設(shè)置防爆破策略
4、一鍵更新漏洞補(bǔ)丁
5、病毒木馬檢測
②事中防御
1、通過對網(wǎng)絡(luò)內(nèi)部主機(jī)的進(jìn)程、會(huì)話、資源等指標(biāo)參數(shù)進(jìn)行監(jiān)測以發(fā)現(xiàn)異常的可疑行為。
2、結(jié)合威脅情報(bào)提供的遠(yuǎn)控或高危黑IP,感知可能正在發(fā)生的攻擊事件
③事后處置
1、隔離感染主機(jī):已中毒計(jì)算機(jī)盡快隔離,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡。 2、切斷傳播途徑:關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口,關(guān)閉異常的外聯(lián)訪問。可開啟IPS和僵尸網(wǎng)絡(luò)功能進(jìn)行封堵。 3、查找攻擊源:手工抓包分析或借助安全狗嘯天態(tài)勢感知平臺(tái)快速查找攻擊源,避免更多主機(jī)持續(xù)感染。 4、查殺病毒:推薦使用安全狗進(jìn)行病毒查殺,快速分析流行事件,實(shí)現(xiàn)終端威脅閉環(huán)處置響應(yīng)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 為什么年輕人不愛換手機(jī)了
- 柔宇科技未履行金額近億元被曝已6個(gè)月發(fā)不出工資
- 柔宇科技被曝已6個(gè)月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
- 第六座“綠動(dòng)未來”環(huán)保公益圖書館落地貴州山區(qū)小學(xué)
- 窺見“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
- 清潔家電新老玩家市場定位清晰,攜手共進(jìn),核心技術(shù)決定未來
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。