第三代GandCrab3勒索病毒來襲 隱藏技術更加嚴密
來自專欄 騰訊安全聯合實驗室
繼勒索病毒GandCrab、GandCrab2之後,近日,第三代勒索病毒GandCrab3利用CVE-2017-8570漏洞進行傳播,針對企業用戶發起攻擊,觸發漏洞後釋放誘餌文檔,並通過郵件迅速傳播,對企業文檔安全造成嚴重威脅。
GandCrab3勒索病毒被其它病毒利用 危害升級
GandCrab3勒索病毒不僅自身危害極大,還會被其它蠕蟲病毒利用進行傳播。例如,近日爆發的Bondat蠕蟲病毒構建的殭屍網路,不僅繼承了以往版本鎖瀏覽器主頁挖門羅幣的功能,還會下載運行GandCrab3勒索病毒,導致病毒危害步步升級。Bondat蠕蟲病毒藉助U盤、移動硬碟傳播,騰訊安全專家建議用戶謹慎雙擊移動磁碟上的程序、文檔及其快捷方式。
演化速度快 一旦中毒損失巨大
GandCrab勒索病毒於2018年1月首次被發現,短短數月便歷經3個版本的更迭,迅速發展成為2018年第三大流行勒索病毒家族。
據統計,GandCrab勒索病毒家族的受害者大部分集中在巴西、美國、印度、印度尼西亞和巴基斯坦等國家。GandCrab是首個使用達世幣作為贖金的勒索病毒,海外安全廠商和警方通力合作,獲取了其命令與控制伺服器C&C許可權,使得部分被GandCrab加密的文件能夠解密。不幸的是,對於被GandCrab2和GandCrab3加密的文件,目前尚沒有解密方法。對於擁有大量重要數據的企業用戶而言,被加密的文件若無備份,造成的損失將不可估量。
隱藏技術高 追蹤和解密難度巨大
經過對捕獲的GandCrab勒索病毒家族樣本進行分析,騰訊安全反病毒實驗室發現,對比GandCrab、GandCrab2,勒索病毒GandCrab3代碼隱藏技術更加隱蔽,其使用CVE-2017-8570漏洞進行傳播,漏洞觸發後會釋放包含「?????」(韓語「你好」)字樣的誘餌文檔,並運行勒索軟體。
從勒索聲明上看,與該家族以往版本的勒索病毒不同,GandCrab3並沒有直接指明贖金類型及金額,而是要求中招用戶使用Tor網路或者Jabber即時通訊軟體獲得下一步行動指令,極大地增加了追蹤難度。目前,騰訊電腦管家已實時攔截該病毒。
由於GandCrab勒索家族普遍在加密方式代碼上採用了較為複雜的RSA+AES混合加密,除非拿到黑客掌握的私鑰,否則解密的可能性微乎其微。因此,應對勒索病毒攻擊,做好網路安全防範措施最為關鍵。
推薦閱讀:
※殺毒軟體為何越來越煩?談談殺軟彈窗的那點事
※Windows10有這些功能,你還要第三方殺軟嗎?
※360和瑞星殺毒軟體哪個好?
※360殺毒軟體和金山毒霸哪個更好用?