返回目录:office365
2019年3月13日,宜昌市夷陵区人民政府官网发布公告《关于防范勒索病毒 GANDCRAB 攻击 的预警通报》称,近期有境外黑客组织对我国有关政府部门发起了勒索病毒邮件攻击,勒索病毒版本号为GANDCRABV5.2。
GandCrab 勒索病毒是2018年勒索病毒家族中最活跃的家族,在一年的时间里经历了五个大版本的更新,而在2019年2月份继续升级到了 GandCrab V5.2,根据国家网络与信息安全信息通报中心监测发现,这次攻击事件从2019年3月11日就已经有了动静。
受害者邮箱会收到一封邮件,标题为“你必须在3月11日下午3点向警察局报到!”邮件内容则是一个以日期命名的 rar 格式压缩包。
而根据捕获的样本来看,压缩包中的伪装文件并不大一样,有的是乱码的exe可执行文件,也有用“XXX.doc .exe”这种包含多个空格,以此来伪装成word文件的,也有直接伪装成PDF文件的,花样繁多。
只要受害者警惕性低的情况下打开了病毒文件,结果都只有一个。电脑中文件被加密,并随即添加文件后缀,并“贴心地”告诉你如何如何支付赎金。
攻击者要求受害者下载Tor浏览器,通过浏览器打开特定的页面,例如上图所展示的暗网地址是:http://gandcrabmfe6mnef.onion/2f7a3eb776b9c9c2。
该地址打开之后,要求用户查找并上传 -DECRYPT.txt 或 -MANUAL.txt文件,才能进行下一步支付赎金操作。
GandCrab勒索病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。而针对这次病毒样本,腾讯御见威胁情报中心在 FreeBuf 专栏发布了详细的分析:
勒索病毒GandCrab5.2预警:冒充政府机关进行鱼叉邮件攻击
https://www.freebuf.com/column/198155.html
安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。
个人用户:
1、不要打开来历不明的邮件附件;
2、及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;
3、在Windows中禁用U盘的自动运行功能;
4、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播。
参考链接
1.http://www.10.gov.cn/content-638-521871-1.html
2.https://www.freebuf.com/column/198155.html
*本文作者:shidongqi,转载请注明来自FreeBuf.COM