现在的位置: 首页 > 安全资讯 > 正文

GandCrab V5.2勒索病毒针对我国政府部门,要求通过Tor浏览器支付赎金

2019年03月19日 13:34:31 安全资讯 ⁄ 共 1427字 ⁄ 字号 暂无评论 ⁄ 阅读 0 次
转载请获得SafeCN授权或附上原文可点击链接和出处。
文章目录

2019年3月13日,宜昌市夷陵区人民政府官网发布公告《关于防范勒索病毒 GANDCRAB 攻击 的预警通报》称,近期有境外黑客组织对我国有关政府部门发起了勒索病毒邮件攻击,勒索病毒版本号为GANDCRABV5.2。

social-image.jpg

GandCrab 勒索病毒是2018年勒索病毒家族中最活跃的家族,在一年的时间里经历了五个大版本的更新,而在2019年2月份继续升级到了 GandCrab V5.2,根据国家网络与信息安全信息通报中心监测发现,这次攻击事件从2019年3月11日就已经有了动静。

1552528827_5c89b5bb4256c.jpg

受害者邮箱会收到一封邮件,标题为“你必须在3月11日下午3点向警察局报到!”邮件内容则是一个以日期命名的 rar 格式压缩包。

1552528865_5c89b5e16ebc5.png

2.jpg

而根据捕获的样本来看,压缩包中的伪装文件并不大一样,有的是乱码的exe可执行文件,也有用“XXX.doc .exe”这种包含多个空格,以此来伪装成word文件的,也有直接伪装成PDF文件的,花样繁多。

1552529130_5c89b6ea7c006.jpg

只要受害者警惕性低的情况下打开了病毒文件,结果都只有一个。电脑中文件被加密,并随即添加文件后缀,并“贴心地”告诉你如何如何支付赎金。

攻击者要求受害者下载Tor浏览器,通过浏览器打开特定的页面,例如上图所展示的暗网地址是:http://gandcrabmfe6mnef.onion/2f7a3eb776b9c9c2。

WX20190314-144936@2x.png

该地址打开之后,要求用户查找并上传 -DECRYPT.txt 或 -MANUAL.txt文件,才能进行下一步支付赎金操作。

GandCrab勒索病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。而针对这次病毒样本,腾讯御见威胁情报中心在 FreeBuf 专栏发布了详细的分析:

勒索病毒GandCrab5.2预警:冒充政府机关进行鱼叉邮件攻击

https://www.freebuf.com/column/198155.html

安全建议

企业用户:

1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据(数据库等数据)进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在具备专业安全防护能力的云服务。

个人用户:

1、不要打开来历不明的邮件附件;

2、及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;

3、在Windows中禁用U盘的自动运行功能;

4、及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播。

参考链接

1.http://www.10.gov.cn/content-638-521871-1.html

2.https://www.freebuf.com/column/198155.html

*本文作者:shidongqi,

转载请注明: GandCrab V5.2勒索病毒针对我国政府部门,要求通过Tor浏览器支付赎金 | 爱分享 SafeCN
本站内容受著作权法保护,个人站点转载请遵循 知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议;商业网站或未授权媒体不得复制本站内容。

猜你喜欢

给我留言

留言无头像?