近日,多家政府和企业单位曝出遭受勒索病毒攻击的信息,根据国家网络与信息安全信息通报中心监测,GandCrab V5.2 自 2019 年 3 月 11 日开始在中国肆虐,攻击了上千台政府、企业以及相关科研机构的电脑。
目前,湖北省宜昌市夷陵区政府、中国科学院金属研究所、云南师范大学以及大连市公安局等政府、企业、高校均在其官网发布了防范病毒攻击的公告。
该勒索病毒名为GandCrab V5.2,在全球范围内已经攻击了巴西、美国、印度、印度尼西亚和巴基斯坦等多个国家,目前的情况来看,中国已经成为了该病毒的目标之一。
01病毒背景信息
这款GandCrab勒索病毒诞生于2018年1月,是一种新型的比特币勒索病毒。自诞生后的几个月里,迅速成为一颗“新星”,“技术实力强”是该团队的标签之一。由于其既信守承诺给赎金就“解毒”,还曾“人道地”将叙利亚等战乱地区排除在感染地区之外,因而也曾被人称为“侠盗”病毒。
此前,安全狗曾针对该病毒较早的版本进行过分析,用户可对照进行参考。
02病毒传播途径
根据目前的分析,GandCrab V5.2勒索病毒目前主要通过邮件形式攻击。攻击者首先会向受害人邮箱发送一封邮件,主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min,Gap Ryong”,邮件附件名为“03-11-19.rar”。
受害者一旦下载并打开该附件,GandCrab V5.2会立刻对用户主机硬盘数据进行全盘加密,并让受害者访问特定网址下载Tor浏览器,随后通过Tor浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。
目前此勒索病毒的主要攻击方式,仍是邮件为主。除了垃圾邮件,GandCrab V5.2还有可能采用“网页挂马攻击”,即除了在一些非法网站上投放木马病毒,攻击者还可能攻击一些防护能力比较弱的正规网站,在取得网站控制权后攻击登陆该网站的用户;另外,该病毒也有可能通过CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)以及Weblogic等漏洞进行传播。
03目前尚无方法破解
今年2月19日,业内曾有专家曾根据GandCrab自己给出的密钥,研发出了GandCrab V5.1之前所有版本病毒的“解药”,但随后GrandCrab的技术团队就发布了目前肆虐的版本V5.2,至今无法破解。
目前在暗网中,GrandCrab幕后团队采用“勒索即服务”(“ransomware as-a-service” )的方式,向黑客大肆售卖V5.2版本病毒,即由GrandCrab团队提供病毒,黑客在全球选择目标进行攻击勒索,攻击成功后 GrandCrab团队再从中抽取30%-40%的利润。
当前网络上有人声称可以破解 GandCrab V5.2的企业和个人,但要求提前付费,业内普遍认为其根本没有能力对病毒进行破解,所谓的可以破解GandCrab V5.2,其实是“代理”破解,即代勒索者收取费用,从勒索者处获得解密密钥(破解)。
04防御方案
针对该家族的勒索病毒,可以通过以下手段尽可能地预防
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
与此同时,结合安全狗的相关安全产品和技术,我们推出了更有针对性的,从事前、事中和事后三个阶段来处理和应对的专项解决方案。
①事前加固
1、检测并修复弱口令
2、制定严格的端口管理策略
3、设置防爆破策略
4、一键更新漏洞补丁
5、病毒木马检测
②事中防御
1、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。
2、结合威胁情报提供的远控或高危黑IP,感知可能正在发生的攻击事件
③事后处置
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。 2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。可开启IPS和僵尸网络功能进行封堵。 3、查找攻击源:手工抓包分析或借助安全狗啸天态势感知平台快速查找攻击源,避免更多主机持续感染。 4、查杀病毒:推荐使用安全狗进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。
来源:freebuf.com 2019-04-09 14:15:29 by: 安全狗safedog
请登录后发表评论
注册