欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

GandCrab V5.2勒索病毒针对我国政府部门,要求通过Tor浏览器支付赎金

来源:本站整理 作者:佚名 时间:2019-03-15 TAG: 我要投稿

2019年3月13日,宜昌市夷陵区人民政府官网发布公告《关于防范勒索病毒 GANDCRAB 攻击 的预警通报》称,近期有境外黑客组织对我国有关政府部门发起了勒索病毒邮件攻击,勒索病毒版本号为GANDCRABV5.2。

GandCrab 勒索病毒是2018年勒索病毒家族中最活跃的家族,在一年的时间里经历了五个大版本的更新,而在2019年2月份继续升级到了 GandCrab V5.2,根据国家网络与信息安全信息通报中心监测发现,这次攻击事件从2019年3月11日就已经有了动静。

受害者邮箱会收到一封邮件,标题为“你必须在3月11日下午3点向警察局报到!”邮件内容则是一个以日期命名的 rar 格式压缩包。


而根据捕获的样本来看,压缩包中的伪装文件并不大一样,有的是乱码的exe可执行文件,也有用“XXX.doc .exe”这种包含多个空格,以此来伪装成word文件的,也有直接伪装成PDF文件的,花样繁多。

只要受害者警惕性低的情况下打开了病毒文件,结果都只有一个。电脑中文件被加密,并随即添加文件后缀,并“贴心地”告诉你如何如何支付赎金。
攻击者要求受害者下载Tor浏览器,通过浏览器打开特定的页面,例如上图所展示的暗网地址是:http://gandcrabmfe6mnef.onion/2f7a3eb776b9c9c2。

该地址打开之后,要求用户查找并上传 -DECRYPT.txt 或 -MANUAL.txt文件,才能进行下一步支付赎金操作。
GandCrab勒索病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在具备专业安全防护能力的云服务。
个人用户:
1、不要打开来历不明的邮件附件;
2、及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;
3、在Windows中禁用U盘的自动运行功能;
4、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载