勒索病毒GANDCRAB V5.2預警

近日，安恆應急響應中心在持續關注GANDCRAB勒索病毒傳播情況時發現，目前該勒索病毒依然活躍，雖然病毒有多種傳播方式，但主要還通過郵件附件傳播較多，有偽裝成*.jpg或*.bmp的可執行文件，有壓縮打包*.js文件的，然後調用powershell下載加密程序，也有*.js直接釋放的版本，還有利用Office宏下載vbs腳本再下載加密程序的等各種版本。

病毒運行時會請求www.kakaocorp.link這個C2域名，如果區域網出口流量監測到有對該域名的請求，表示網路中可能有主機已中招，需要及時排查，不過病毒後續版本可能會更改成其他C2域名，請及時關注最新安全預警。

建議在具有安全隔離的虛擬機系統中打開郵件附件，同時取消打勾「文件夾選項->查看->隱藏已知文件類型的擴展名」，這種狀態下可看到文件實際擴展名，對*.jpg.exe、*.bmp.exe、*.js、*.vbs等可執行文件謹慎點擊（點擊即會運行）。

4. 病毒樣本

該勒索病毒目前是5.2版本，www.nomoreransom.org網站上可以找到針對V5.1之前部分版本的解密工具，但對5.2版本無效，一些5.2版本的樣本在2018年8月編譯，文件是韓文的.doc文檔（例如：??.doc），通過Office宏下載vbs腳本再下載加密程序，另一些JS直接釋放的版本編譯時間為2018年4月，VirusTotal中暫無記錄。

對於勒索病毒的通用防護方案是合理的備份系統文件（該病毒會通過vssadmin命令刪除本機卷影副本，因此最好把文件備份到獨立存儲中），同時保持良好的在安全隔離虛擬機系統中運行郵件附件的習慣，也可以部署必要的安全防護軟體攔截針對惡意加密行為的函數執行。

本文轉自 安恆應急響應中心

推薦閱讀：

• 注意！Mirai又有新變種，企業物聯網設備或成新目標

• 美國大量醫療記錄和處方遭泄露

• 第四輪數據出售：黑客在暗網上公開售賣2600萬個賬戶

• INSEC WORLD世界信息安全大會9月登陸香港

• FBI局長談美國面臨的網路威脅

▼點擊「閱讀原文」 查看更多精彩內容

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！