近期,一个名为GandCrab的勒索病毒的最新变种开始在网络上扩散传播,已给一些单位的重要数据造成了损失。GandCrab是一个勒索病毒家族,从2018年初出现到现在已经更新过多个版本(最新的版本为5.2),是2018年里最活跃的勒索病毒。该病毒感染系统后会对系统上的数据文件进行加密并向用户索要赎金,用户支付赎金后方可解密。病毒作者公开的信息显示,在2019年1月其已收到总计285万美金的赎金,由此可见其传播的范围之广。

GandCrab最新的5.2版本主要通过电子邮件附件进行传播,攻击者会冒充执法机关发送钓鱼邮件到受害者邮箱中,并恐吓受害者( 如“必须在 3 月 11 日下午3 点到警察局报到” ),从而诱导受害者点击运行邮件附件。除电子邮件附件外,该病毒家族还会通过其他多种方式进行传播,目前已知的方式包括:

  1. 通过U盘等移动存储介质进行传播;
  2. 伪装成软件下载器引诱用户下载进行传播;
  3. 通过Windows远程桌面(TCP 3389端口)或VNC远程控制软件(TCP 5900端口)提供的服务来暴力破解系统弱口令账号进行传播;
  4. 通过永恒之蓝漏洞(TCP 139、445端口)进行传播;
  5. 通过网页挂马的模式进行传播;
  6. 通过感染WEB/FTP的目录进行传播;

上述传播方式中邮件附件和U盘是主要传播途径,这两种方式可以使病毒穿透网络边界的防护传播到内网,并通过内网系统中存在的安全漏洞在内部进行扩散。在传播的过程中,GandCrab会尝试利用各种系统及软件的漏洞。

GandCrab一旦感染用户的系统,会对系统上三百多种格式的文件进行加密后再删除原文件,并生成勒索信息向用户索要赎金(最新的5.2版本索要3000美元赎金)。除了加密被感染系统上的文件外,病毒还会尝试加密网络共享文件夹中的文件。由于GandCrab使用的是RSA+AES加密算法,在没有获取解密私钥的情况下几乎无法自行破解,因此针对该病毒还是以防范为主。

要防范GandCrab勒索病毒,建议用户做到如下几点:

  1. 及时安装系统及软件的补丁程序,防止病毒利用漏洞进行传播;
  2. 安装有效的防病毒软件并及时更新病毒库,定期进行全盘扫描;
  3. 关闭系统中U盘自动运行功能;
  4. 不要在系统上随便点击来历不明的程序,包括邮件附件、不可信渠道下载的软件等;
  5. 避免为系统账号设置弱口令;
  6. 关闭系统不必要的服务和共享,对于必须开放的服务,尽量不要使用默认的服务端口,如远程桌面的3389端口;
  7. 提高安全意识,保持良好的上网习惯,不要访问非法的网站及网页;
  8. 养成良好的工作习惯,定期使用其他介质备份重要数据文件。

如果您的系统已被GandCrab感染并加密,我们原则上不建议您交付赎金进行解密,您可以按照以下步骤操作:

  1. 立即中断系统的网络连接,避免对同网段内其他机器造成影响。检查自己机器中毒的版本(可根据病毒留下来的上网查询版本);
  2. 使用杀毒软件(可下载对应版本的专杀工具)对系统上的病毒进行查杀;
  3. 目前国外的安全研究机构会同当地警方已经破获了病毒作者在暗网上存放私钥的服务器,获取了一部分的解密私钥。因此,5.2之前版本被加密的数据已经可以在不支付赎金的情况下自行解密了,相关的解密工具可在网上搜索;
  4. 对于被5.2版本加密的数据,目前还无法解密,用户可将相关的数据封存,等待未来获取了解密私钥后再进行解密。