侠盗病毒”卷土重来,中国成为目标

发布者:xjzx01发布时间:2019-04-12浏览次数:579

近日,多家政府和企业单位曝出遭受勒索病毒攻击的信息,根据国家网络与信息安全信息通报中心监测,GandCrab V5.2 自 2019 年 3 月 11 日开始在中国肆虐,攻击了上千台政府、企业以及相关科研机构的电脑。

该勒索病毒名为GandCrab V5.2,在全球范围内已经攻击了巴西、美国、印度、印度尼西亚和巴基斯坦等多个国家,目前的情况来看,中国已经成为了该病毒的目标之一。

 
01 病毒背景信息

这款GandCrab勒索病毒诞生于2018年1月,是一种新型的比特币勒索病毒。自诞生后的几个月里,迅速成为一颗“新星”,“技术实力强”是该团队的标签之一。由于其既信守承诺给赎金就“解毒”,还曾“人道地”将叙利亚等战乱地区排除在感染地区之外,因而也曾被人称为“侠盗”病毒。

此前,曾针对该病毒较早的版本进行过分析,用户可对照进行参考。

 
02 病毒传播途径

根据目前的分析,GandCrab V5.2勒索病毒目前主要通过邮件形式攻击。攻击者首先会向受害人邮箱发送一封邮件,主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min,Gap Ryong”,邮件附件名为“03-11-19.rar”。

受害者一旦下载并打开该附件,GandCrab V5.2会立刻对用户主机硬盘数据进行全盘加密,并让受害者访问特定网址下载Tor浏览器,随后通过Tor浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。

目前此勒索病毒的主要攻击方式,仍是邮件为主。除了垃圾邮件,GandCrab V5.2还有可能采用“网页挂马攻击”,即除了在一些非法网站上投放木马病毒,攻击者还可能攻击一些防护能力比较弱的正规网站,在取得网站控制权后攻击登陆该网站的用户;另外,该病毒也有可能通过CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)以及Weblogic等漏洞进行传播。

 
03 目前尚无方法破解

今年2月19日,业内曾有专家曾根据GandCrab自己给出的密钥,研发出了GandCrab V5.1之前所有版本病毒的“解药”,但随后GrandCrab的技术团队就发布了目前肆虐的版本V5.2,至今无法破解。

目前在暗网中,GrandCrab幕后团队采用“勒索即服务”(“ransomware as-a-service” )的方式,向黑客大肆售卖V5.2版本病毒,即由GrandCrab团队提供病毒,黑客在全球选择目标进行攻击勒索,攻击成功后 GrandCrab团队再从中抽取30%-40%的利润。

当前网络上有人声称可以破解 GandCrab V5.2的企业和个人,但要求提前付费,业内普遍认为其根本没有能力对病毒进行破解,所谓的可以破解GandCrab V5.2,其实是“代理”破解,即代勒索者收取费用,从勒索者处获得解密密钥(破解)。
 

04 防御方案

针对该家族的勒索病毒,可以通过以下手段尽可能地预防

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

与此同时,结合相关安全产品和技术,从事前、事中和事后三个阶段来处理和应对的专项解决方案。

①事前加固

1、检测并修复弱口令

2、制定严格的端口管理策略

3、设置防爆破策略

4、一键更新漏洞补丁

5、病毒木马检测

②事中防御

1、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。

2、结合威胁情报提供的远控或高危黑IP,感知可能正在发生的攻击事件

③事后处置

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。可开启IPS和僵尸网络功能进行封堵。

3、查找攻击源:手工抓包分析或借助态势感知平台快速查找攻击源,避免更多主机持续感染。

4、查杀病毒:快速分析流行事件,实现终端威胁闭环处置响应。


Baidu
map