?近日,一款名為GandCrab V5.2的“俠盜病毒”肆虐而至,已攻擊了巴西、美國、印度、印度尼西亞和巴基斯坦等多個(gè),大有再現(xiàn)2017年WannaCry病毒“昔日榮光”(攻擊全球150多個(gè)、造成總計(jì)超80億天價(jià)損失)的跡象。
截止目前,我國已有數(shù)千臺政府以及企業(yè)的電腦遭受到攻擊,而各大安全團(tuán)隊(duì)目前還未找到破解之法。MailData 在此提醒大家,千萬做好相關(guān)防御措施。
一、為何稱為“俠盜病毒”
這款GandCrab勒索病毒誕生于2018年1月,是一種新型的比特幣勒索病毒。自誕生后的幾個(gè)月里,迅速成為一顆“新星”,“技術(shù)實(shí)力強(qiáng)”是該團(tuán)隊(duì)的標(biāo)簽之一。
而團(tuán)隊(duì)的另外一個(gè)標(biāo)簽——“俠盜”,則來源于2018年發(fā)生的“敘利亞密鑰”事件。
2018年10月16日,一位名叫Jameel的敘利亞父親在Twitter上發(fā)帖求助,說自己的電腦感染了GandCrab V5.0.3并遭到加密,由于無力支付高達(dá)600美元的“贖金”,他再也無法看到在戰(zhàn)爭中喪生的小兒子的照片。
GandCrab勒索病毒制作者看到后,隨即發(fā)布了一條道歉聲明,稱其無意感染敘利亞用戶,并放出了部分?jǐn)⒗麃喐腥菊叩慕饷苊荑€。GandCrab也隨之進(jìn)行了V5.0.5更新,并將敘利亞以及其他戰(zhàn)亂地區(qū)加進(jìn)感染區(qū)域的“白名單”。此外,如果GandCrab監(jiān)測到電腦系統(tǒng)使用的是俄語系語言,也會停止入侵。安全專家據(jù)此猜測病毒作者疑為俄羅斯人。
此事一出,不少人對GandCrab生出好感,稱呼其為“俠盜”。
“GandCrab頗有些武俠小說中俠盜的意味,盜亦有道,”一位匿名的安全人員說,“不過即使這樣,也不能說GandCrab的行為就是正當(dāng)?shù)?,畢竟它對其他的人就沒有心慈手軟。”
二、攻擊強(qiáng)悍:我國已經(jīng)成為重要攻擊目標(biāo)
雖說GandCrab盜亦有道,但GrandCrab V 5.2版本所使用的語言,主要是中文、英文以及韓文,說明我國目前已經(jīng)成為其重要的攻擊目標(biāo)。
根據(jù)網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測,GandCrab V5.2自2019年3月11日開始在中國肆虐,目前已攻擊了上千臺政府、企業(yè)以及相關(guān)科研機(jī)構(gòu)的電腦。
截止目前,湖北省宜昌市夷陵區(qū)政府、中國科學(xué)院金屬研究所、云南師范大學(xué)以及大連市公安局等政府、企業(yè)、高校,均在其官網(wǎng)發(fā)布了遭受病毒攻擊的公告。
據(jù)網(wǎng)絡(luò)安全分析師David Montenegro所說,GandCrab V5.2勒索病毒目前已經(jīng)感染了數(shù)千臺中國電腦,接下來還將通過RDP和VNC擴(kuò)展攻擊影響中國更多的電腦。
三、攻擊手段:垃圾郵件
據(jù)了解,GandCrab V5.2勒索病毒,目前主要是通過郵件形式攻擊。
攻擊者首先會向受害人郵箱發(fā)送一封郵件,主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到!”,發(fā)件人名為“Min,Gap Ryong”,郵件附件名為“03-11-19.rar”。
受害者一旦下載并打開該附件,GandCrab V5.2會立刻對用戶主機(jī)硬盤數(shù)據(jù)進(jìn)行全盤加密,并讓受害者訪問特定網(wǎng)址下載Tor瀏覽器,隨后通過Tor瀏覽器登錄攻擊者的加密貨幣支付窗口,要求受害者繳納贖金。
目前DVP區(qū)塊鏈安全團(tuán)隊(duì)猜測,除了垃圾郵件投放攻擊,GandCrab V5.2還有可能采用“網(wǎng)頁掛馬攻擊”,即除了在一些非法網(wǎng)站上投放木馬病毒,攻擊者還可能攻擊一些防護(hù)能力比較弱的正規(guī)網(wǎng)站,在取得網(wǎng)站控制權(quán)后攻擊登陸該網(wǎng)站的用戶。
另外,該病毒也有可能通過CVE-2019-7238(Nexus Repository Manager 3遠(yuǎn)程代碼執(zhí)行漏洞)以及Weblogic等漏洞進(jìn)行傳播。
但綜上所述,目前此勒索病毒的主要攻擊方式,仍是郵件為主。
四、不可破解:地表較強(qiáng)的勒索病毒?
今年2月19日,Bitdefender安全實(shí)驗(yàn)室專家曾根據(jù)GandCrab自己給出的密鑰,研發(fā)出了GandCrab V5.1之前所有版本病毒的“解藥”。
然而,道高一尺,魔高一丈。根據(jù)ZDnet報(bào)道,今年2月18日,就在Bitdefender發(fā)布較新版本破解器的前,GrandCrab發(fā)布了正肆虐版本V5.2,該版本至今無法破解。
目前在暗網(wǎng)中,GrandCrab幕后團(tuán)隊(duì)采用“勒索即服務(wù)”(“ransomware as-a-service” )的方式,向黑客大肆售賣V5.2版本病毒,即由GrandCrab團(tuán)隊(duì)提供病毒,黑客在全球選擇目標(biāo)進(jìn)行攻擊勒索,攻擊成功后 GrandCrab團(tuán)隊(duì)再從中抽取30%-40%的利潤。
“垃圾郵件制造者們,你們現(xiàn)在可以與網(wǎng)絡(luò)專家進(jìn)行合作,不要錯(cuò)失獲取美好生活的門票,我們在等你。”是GrandCrab團(tuán)隊(duì)在暗網(wǎng)中打出的“招商廣告”。
GandCrab是目前個(gè)勒索Dash幣的勒索病毒,后來才加了比特幣,要價(jià)499美元。據(jù)GandCrab團(tuán)隊(duì)2018年12月公布的數(shù)據(jù),其總計(jì)收入比特幣以及Dash幣合計(jì)已高達(dá)285萬美元。
對此勒索病毒,有一些論壇上出現(xiàn)了宣稱可以破解 GandCrab V5.2的企業(yè)和個(gè)人。一家匿名的區(qū)塊鏈安全公司表示,這些基本都是騙子,是皮包公司,根本沒有能力對病毒進(jìn)行破解。他們所宣稱可以破解GandCrab V5.2,其實(shí)是“代理”破解。
他們的破解條件是先付款,再破解,即他們收你的錢,幫你向勒索者支付加密貨幣,從而拿到解密密鑰(破解)。
五、防御之法
面對攻擊者的來勢洶洶,宜昌市夷陵區(qū)政府給出了一些應(yīng)對之策:
1. 不要打開來歷不明的郵件附件;
2. 及時(shí)安裝主流殺毒軟件,升級病毒庫,對相關(guān)系統(tǒng)進(jìn)行全面掃描查殺;
3. Windows中禁用U盤的自動運(yùn)行功能;
4. 及時(shí)升級操作系統(tǒng)安全補(bǔ)丁,升級Web、數(shù)據(jù)庫等服務(wù)程序,防止病毒利用漏洞傳播;
5. 對已感染主機(jī)或服務(wù)器采取斷網(wǎng)措施,防止病毒擴(kuò)散蔓延。
而對于郵件來往密集的企事業(yè)單位,MailData 建議盡快安裝郵件網(wǎng)關(guān)系統(tǒng),以專業(yè)的病毒庫來進(jìn)行防御。因?yàn)閷τ谀壳皶簳r(shí)無法破解的病毒,還是從根源上杜絕它們的進(jìn)入更為保險(xiǎn)。
(內(nèi)容來源:廣東省網(wǎng)絡(luò)安全應(yīng)急響應(yīng)平臺 )
聯(lián)系人:宋經(jīng)理
地址: 北京市通州區(qū)永樂店鎮(zhèn)聯(lián)航大廈2476