内容简介:今年以来,GandCrab勒索家族持续活跃,深信服第一时间预警了GandCrab4.0、GandCrab5.0、GandCrab5.0.3勒索病毒,同时发现在预警完GandCrab5.0.3后,其仍然很活跃,福建、浙江、山西、吉林、贵州、天津多省份均有感染案例。近日,我们发现GandCrab5.0.3升级版本GandCrab5.0.4在国内有呈现爆发的趋势,已造成国内部分医疗行业出现业务瘫痪,影响医院正常看病治疗。深信服安全团队第一时间获取到了该病毒样本,该变种同样采用RSA+AES加密算法,将系统中的大
前言
今年以来,GandCrab勒索家族持续活跃,深信服第一时间预警了GandCrab4.0、GandCrab5.0、GandCrab5.0.3勒索病毒,同时发现在预警完GandCrab5.0.3后,其仍然很活跃,福建、浙江、山西、吉林、贵州、天津多省份均有感染案例。
近日,我们发现GandCrab5.0.3升级版本GandCrab5.0.4在国内有呈现爆发的趋势,已造成国内部分医疗行业出现业务瘫痪,影响医院正常看病治疗。
深信服安全团队第一时间获取到了该病毒样本,该变种同样采用RSA+AES加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索,该变种暂时无法解密。
该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。
此次勒索变种,与GandCrab5.0.3极为相似。所不同的是,该变种特意硬编码了一张人物图片,疑似黑客仇家,狠狠地怒怼了一把。
不管是GandCrab5.0.3,还是GandCrab5.0.4,深信服已支持检测该变种家族并制定了相应的防护措施。
攻击流程
该勒索变种,功能流程图仍然沿用了5.0.3的框架:
夹带私仇:
特意在5.0.4这个变种版本,硬编码了一张图片。
额外在桌面释放了这张图片:
另外使用以下英文怒怼了一遍这个叫Valery Sinyaev的人。
疑似黑客仇家或者黑客帮别人出气,外部信息显示,Valery Sinyaev是俄罗斯一家物流公司的CFO。
杀进程:
遍历进程,然后结束相关的进程,相关的进程列表如下:
首先,先结束了安全软件:
然后,结束了各种应用软件(含数据库软件):
区域豁免:
通过查询操作系统安装的输入法和操作系统语言版本,确定是否豁免主机。
沿用了5.0.3豁免区域国家列表:
419(LANG_RUSSIAN俄语) 422(LANG_UKRAINIAN乌克兰)
423(LANG_BELARUSIAN白俄罗斯) 428(LANG_TAJIK塔吉克)
42B(LANG_ARMENIAN亚美尼亚) 42C(阿塞拜疆,拉丁美洲(AZ))
437(LANG_GEORGIAN格鲁吉亚人) 43F(LANG_KAZAK哈萨克族)
440(LANG_KYRGYZ吉尔吉斯) 442(LANG_TURKMEN土库曼)
443(乌兹别克斯坦,拉丁语(UZ)) 444(LANG_TATAR俄罗斯(RU))
818(未知) 819(未知)
82C(LANG_AZERI阿塞拜疆,西里尔(亚利桑那州)) 843(LANG_UZBEK乌兹别克)
5.0.4额外新增了豁免区域:
415(LANG_POLISH波兰语)
加密文件:
遍历主机文件目录,生成随机后缀名的加密文件,如下所示:
删除卷影:
加密完成之后,通过ShellExecuteW函数调用wmic.exe程序,删除磁盘卷影:
最后,生成勒索信息文件并修改桌面背景,如下所示:
入侵行为与5.0.3相似,请参考以下链接: https://mp.weixin.qq.com/s/6Xuab9XddHLYhw9YSCej5A 。
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。
深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。
病毒检测查杀
1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
2、深信服EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
病毒防御
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、GandCrab 勒索软件会利用 RDP( 远程桌面协议),如果业务上无需使用 RDP 的,建议关闭 RDP 。 当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。
*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 几十人中招的勒索病毒为何比百万人中招“暗云Ⅲ”受关注?因王者荣耀!
- 900+软件中招 “网赚”成“微信支付”勒索病毒重灾区
- 微信支付“勒索病毒”卷土重来!已有2万人中招!
- 邪恶的编码魔咒,你中招没?
- 360揪出PPT木马 自动播放就中招
- WannaMine升级到V3.0版本,警惕中招!
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Creative Curve
Allen Gannett / Knopf Doubleday Publishing Group / 2018-6-12
Big data entrepreneur Allen Gannett overturns the mythology around creative genius, and reveals the science and secrets behind achieving breakout commercial success in any field. We have been s......一起来看看 《The Creative Curve》 这本书的介绍吧!
