近期,GandCrab勒索软件家族在国内广泛传播,受感染主机上的数据库、图片、文档、压缩包等文件均会被加密,造成业务系统瘫痪,无法展开正常工作,影响巨大。
自2018年1月被发现以来,GandCrab勒索软件发展非常迅速,在不到一年的时间里,出现了以下多种不同的更新版本,勒索软件开发者显得异常活跃,并且在国内也呈现爆发趋势,有诸多企业遭到攻击。
GandCrab勒索软件传播方式
目前,GandCrab会结合钓鱼邮件、网页挂马、漏洞利用、RDP暴力破解破解、僵尸网络等多种攻击方式进行渗透,渗透成功后,便开始加密存储在系统设备上的的核心关键数据,并在*-DECRYPT.TXT文件中告知勒索赎金的相关信息:
▲GandCrab加密系统数据
▲勒索信息文件
通过在虚拟系统中执行GandCrab勒索软件,可以发现其潜在的的恶意行为,对业务系统及核心数据产生巨大的破坏,给企业和用户带来经济与时间的双重损失。
▲GandCrab产生的恶意行为
受感染主机连接到以下风险站点
Domain: www.2mmotorsport.biz
IP: 78.46.77.98
Domain: www.haargenau.biz
IP: 217.26.53.161
Domain: www.bizziniinfissi.com
IP: 74.220.215.73
Domain: www.holzbock.biz
IP: 136.243.13.215
Domain: www.fliptray.biz
IP: 138.201.162.99
Domain: www.pizcam.com
IP: 192.185.159.253
Domain: www.swisswellness.com
IP: 83.138.82.107
Domain: www.hotelweisshorn.com
IP: 212.59.186.61
Domain: www.whitepod.com
IP: 83.166.138.7
执行关键数据加密,进行勒索
删除磁盘卷影,避免文件被恢复
山石网科智能网络入侵防御系统携全面威胁检测引擎
有效抵御高危勒索软件来袭
山石网科iNIPS现已升级为全面威胁防御平台,针对GandCrab勒索软件采取的攻击方式不同,提供对应的检测引擎进行匹配【GandCrab勒索软件特征已更新】,并能根据勒索软件的执行行为,快速发现勒索软件变种更新,在网络边界为用户带来安全、可靠的防护体验。
启用全面威胁检测引擎,有效抵御GandCrab勒索软件
【攻击前】针对漏洞利用和RDP暴力破解
智能网络入侵防御系统防护效果,阻断黑客漏洞利用,拦截网络暴力破解。
【攻击中】针对勒索软件下载
智能网络入侵防御系统病毒过滤拦截效果,有效防御勒索软件。
智能网络入侵防御系统云沙箱检测效果,有效检测勒索软件变种。
▲云沙箱文件分析报告
【攻击后】针对感染主机CnC服务器连接
智能网络入侵防御系统僵尸网络C&C防御效果,防止系统进一步被破坏。
来源:freebuf.com 2018-11-23 17:10:31 by: Hillstone
请登录后发表评论
注册