勒索病毒GANDCRAB V5.2預警
近日,安恆應急響應中心在持續關注GANDCRAB勒索病毒傳播情況時發現,目前該勒索病毒依然活躍,雖然病毒有多種傳播方式,但主要還通過郵件附件傳播較多,有偽裝成*.jpg或*.bmp的可執行文件,有壓縮打包*.js文件的,然後調用powershell下載加密程序,也有*.js直接釋放的版本,還有利用Office宏下載vbs腳本再下載加密程序的等各種版本。
2. 網路特徵病毒運行時會請求www.kakaocorp.link這個C2域名,如果區域網出口流量監測到有對該域名的請求,表示網路中可能有主機已中招,需要及時排查,不過病毒後續版本可能會更改成其他C2域名,請及時關注最新安全預警。
3. 主機防禦建議在具有安全隔離的虛擬機系統中打開郵件附件,同時取消打勾「文件夾選項->查看->隱藏已知文件類型的擴展名」,這種狀態下可看到文件實際擴展名,對*.jpg.exe、*.bmp.exe、*.js、*.vbs等可執行文件謹慎點擊(點擊即會運行)。
4. 病毒樣本
該勒索病毒目前是5.2版本,www.nomoreransom.org網站上可以找到針對V5.1之前部分版本的解密工具,但對5.2版本無效,一些5.2版本的樣本在2018年8月編譯,文件是韓文的.doc文檔(例如:??.doc),通過Office宏下載vbs腳本再下載加密程序,另一些JS直接釋放的版本編譯時間為2018年4月,VirusTotal中暫無記錄。
5. 安全建議對於勒索病毒的通用防護方案是合理的備份系統文件(該病毒會通過vssadmin命令刪除本機卷影副本,因此最好把文件備份到獨立存儲中),同時保持良好的在安全隔離虛擬機系統中運行郵件附件的習慣,也可以部署必要的安全防護軟體攔截針對惡意加密行為的函數執行。
本文轉自 安恆應急響應中心
推薦閱讀:
注意!Mirai又有新變種,企業物聯網設備或成新目標
美國大量醫療記錄和處方遭泄露
第四輪數據出售:黑客在暗網上公開售賣2600萬個賬戶
INSEC WORLD世界信息安全大會9月登陸香港
FBI局長談美國面臨的網路威脅
▼點擊「閱讀原文」 查看更多精彩內容
※震驚!ji32k7au4a83居然是最常見且最易被盜的密碼?
※不要隔離!俄羅斯數萬人抗議網路安全法案
TAG:E安全 |