“侠盗病毒”卷土重来,中国成为目标

发布者:许洸彧发布时间:2019-04-10浏览次数:659

近日,多家政府和企业单位曝出遭受勒索病毒攻击的信息,根据国家网络与信息安全信息通报中心监测,GandCrab V5.2  2019  3  11 日开始在中国肆虐,攻击了上千台政府、企业以及相关科研机构的电脑。

该勒索病毒名为GandCrab V5.2,在全球范围内已经攻击了巴西、美国、印度、印度尼西亚和巴基斯坦等多个国家,目前的情况来看,中国已经成为了该病毒的目标之一。

  

01 病毒背景信息

这款GandCrab勒索病毒诞生于20181月,是一种新型的比特币勒索病毒。自诞生后的几个月里,迅速成为一颗新星技术实力强是该团队的标签之一。由于其既信守承诺给赎金就解毒,还曾人道地将叙利亚等战乱地区排除在感染地区之外,因而也曾被人称为侠盗病毒。

此前,曾针对该病毒较早的版本进行过分析,用户可对照进行参考。

  

02 病毒传播途径

根据目前的分析,GandCrab V5.2勒索病毒目前主要通过邮件形式攻击。攻击者首先会向受害人邮箱发送一封邮件,主题为你必须在311日下午3点向警察局报到!,发件人名为“MinGap Ryong”,邮件附件名为“03-11-19.rar”

受害者一旦下载并打开该附件,GandCrab V5.2会立刻对用户主机硬盘数据进行全盘加密,并让受害者访问特定网址下载Tor浏览器,随后通过Tor浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。

目前此勒索病毒的主要攻击方式,仍是邮件为主。除了垃圾邮件,GandCrab V5.2还有可能采用网页挂马攻击,即除了在一些非法网站上投放木马病毒,攻击者还可能攻击一些防护能力比较弱的正规网站,在取得网站控制权后攻击登陆该网站的用户;另外,该病毒也有可能通过CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)以及Weblogic等漏洞进行传播。

  

03 目前尚无方法破解

今年219日,业内曾有专家曾根据GandCrab自己给出的密钥,研发出了GandCrab V5.1之前所有版本病毒的解药,但随后GrandCrab的技术团队就发布了目前肆虐的版本V5.2,至今无法破解。

目前在暗网中,GrandCrab幕后团队采用勒索即服务“ransomware as-a-service” )的方式,向黑客大肆售卖V5.2版本病毒,即由GrandCrab团队提供病毒,黑客在全球选择目标进行攻击勒索,攻击成功后 GrandCrab团队再从中抽取30%-40%的利润。

当前网络上有人声称可以破解 GandCrab V5.2的企业和个人,但要求提前付费,业内普遍认为其根本没有能力对病毒进行破解,所谓的可以破解GandCrab V5.2,其实是代理破解,即代勒索者收取费用,从勒索者处获得解密密钥(破解)。

  

04 防御方案

针对该家族的勒索病毒,可以通过以下手段尽可能地预防

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

与此同时,结合相关安全产品和技术,从事前、事中和事后三个阶段来处理和应对的专项解决方案。

①事前加固

1、检测并修复弱口令

2、制定严格的端口管理策略

3、设置防爆破策略

4、一键更新漏洞补丁

5、病毒木马检测

②事中防御

1、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。

2、结合威胁情报提供的远控或高危黑IP,感知可能正在发生的攻击事件

③事后处置

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。可开启IPS和僵尸网络功能进行封堵。

3、查找攻击源:手工抓包分析或借助态势感知平台快速查找攻击源,避免更多主机持续感染。

4、查杀病毒:快速分析流行事件,实现终端威胁闭环处置响应。

  


联系我们GET HELP

服务热线:65880000(内线80000)

办公地点:

天赐庄校区:东校区教育超市北

独墅湖校区:独墅湖一期304号楼5楼

阳澄湖校区:行政楼401房间

未来校区:未来校区教学中心628办公室

办公时间:

周一至周五(8:00—12:00,13:30—17:00)

周末及节假日(8:30—11:30,14:00—17:00,仅天赐庄校区)