第三代GandCrab3勒索病毒來襲 隱藏技術更加嚴密

來自專欄 騰訊安全聯合實驗室

繼勒索病毒GandCrab、GandCrab2之後，近日，第三代勒索病毒GandCrab3利用CVE-2017-8570漏洞進行傳播，針對企業用戶發起攻擊，觸發漏洞後釋放誘餌文檔，並通過郵件迅速傳播，對企業文檔安全造成嚴重威脅。

GandCrab3勒索病毒被其它病毒利用 危害升級

GandCrab3勒索病毒不僅自身危害極大，還會被其它蠕蟲病毒利用進行傳播。例如，近日爆發的Bondat蠕蟲病毒構建的殭屍網路，不僅繼承了以往版本鎖瀏覽器主頁挖門羅幣的功能，還會下載運行GandCrab3勒索病毒，導致病毒危害步步升級。Bondat蠕蟲病毒藉助U盤、移動硬碟傳播，騰訊安全專家建議用戶謹慎雙擊移動磁碟上的程序、文檔及其快捷方式。

演化速度快 一旦中毒損失巨大

GandCrab勒索病毒於2018年1月首次被發現，短短數月便歷經3個版本的更迭，迅速發展成為2018年第三大流行勒索病毒家族。

據統計，GandCrab勒索病毒家族的受害者大部分集中在巴西、美國、印度、印度尼西亞和巴基斯坦等國家。GandCrab是首個使用達世幣作為贖金的勒索病毒，海外安全廠商和警方通力合作，獲取了其命令與控制伺服器C&C許可權，使得部分被GandCrab加密的文件能夠解密。不幸的是，對於被GandCrab2和GandCrab3加密的文件，目前尚沒有解密方法。對於擁有大量重要數據的企業用戶而言，被加密的文件若無備份，造成的損失將不可估量。

隱藏技術高 追蹤和解密難度巨大

經過對捕獲的GandCrab勒索病毒家族樣本進行分析，騰訊安全反病毒實驗室發現，對比GandCrab、GandCrab2，勒索病毒GandCrab3代碼隱藏技術更加隱蔽，其使用CVE-2017-8570漏洞進行傳播，漏洞觸發後會釋放包含「?????」（韓語「你好」）字樣的誘餌文檔，並運行勒索軟體。

從勒索聲明上看，與該家族以往版本的勒索病毒不同，GandCrab3並沒有直接指明贖金類型及金額，而是要求中招用戶使用Tor網路或者Jabber即時通訊軟體獲得下一步行動指令，極大地增加了追蹤難度。目前，騰訊電腦管家已實時攔截該病毒。

由於GandCrab勒索家族普遍在加密方式代碼上採用了較為複雜的RSA+AES混合加密，除非拿到黑客掌握的私鑰，否則解密的可能性微乎其微。因此，應對勒索病毒攻擊，做好網路安全防範措施最為關鍵。