病毒名稱:GandCrab5.0.4變種
病毒性質(zhì):勒索病毒
影響范圍:國(guó)內(nèi)已有多個(gè)醫(yī)療機(jī)構(gòu)接連受感染
危害等級(jí):高危
傳播方式:通過RDP爆破、郵件、漏洞、垃圾網(wǎng)站掛馬等方式傳播,不具備內(nèi)網(wǎng)傳播能力。
病毒分析
01
病毒描述
今年以來,GandCrab勒索家族持續(xù)活躍,深信服第一時(shí)間預(yù)警了GandCrab4.0、GandCrab5.0、GandCrab5.0.3等變種,不久前剛發(fā)預(yù)警的GandCrab5.0.3,依然非常活躍,福建、浙江、山西、吉林、貴州、天津多省份均有感染案例。
近日,我們發(fā)現(xiàn)GandCrab5.0.3已經(jīng)升級(jí)到版本GandCrab5.0.4,并有多家醫(yī)療機(jī)構(gòu)因最新變種導(dǎo)致業(yè)務(wù)癱瘓。
該變種同樣采用RSA+AES加密算法,將系統(tǒng)中的大部分文檔文件加密為隨機(jī)后綴名的文件,然后對(duì)用戶進(jìn)行勒索。
最新變種仍然主要通過RDP爆破、郵件、漏洞、垃圾網(wǎng)站掛馬等方式進(jìn)行傳播,其自身不具備感染傳播能力,不會(huì)主動(dòng)對(duì)局域網(wǎng)的其他設(shè)備發(fā)起攻擊,但會(huì)加密局域網(wǎng)共享目錄文件夾下的文件。
02
樣本分析
本次5.0.4變種,入侵行為與5.0.3變種相似,具體可參考:緊急預(yù)警:流行勒索病毒GandCrab再爆V5.0.3變種!
其功能流程圖也仍然沿用了5.0.3的框架:
在5.0.4這個(gè)變種版本,硬編碼了一張圖片,并釋放于被感染主機(jī)桌面:
結(jié)束進(jìn)程
遍歷進(jìn)程,然后結(jié)束相關(guān)的進(jìn)程。首先結(jié)束安全軟件,實(shí)現(xiàn)病毒隱匿:
然后,結(jié)束各種應(yīng)用軟件,包括數(shù)據(jù)庫軟件:
區(qū)域豁免
通過查詢操作系統(tǒng)安裝的輸入法和操作系統(tǒng)語言版本,確定是否豁免主機(jī),中國(guó)不在豁免范圍內(nèi)。
加密文件
遍歷主機(jī)文件目錄,生成隨機(jī)后綴名的加密文件,如下所示:
刪除卷影
加密完成之后,通過ShellExecuteW函數(shù)調(diào)用wmic.exe程序,刪除磁盤卷影:
最后,生成勒索信息文件并在桌面進(jìn)行勒索。
解決方案
- 針對(duì)已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶,由于暫時(shí)沒有解密工具,建議盡快對(duì)感染主機(jī)進(jìn)行斷網(wǎng)隔離。
- 深信服提醒廣大用戶盡快做好病毒檢測(cè)與防御措施,防范此次勒索攻擊。
病毒檢測(cè)查殺
- 深信服為廣大用戶免費(fèi)提供查殺工具,可下載如下工具,進(jìn)行檢測(cè)查殺。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
2、深信服EDR產(chǎn)品、下一代防火墻及安全感知平臺(tái)等安全產(chǎn)品均具備病毒檢測(cè)能力,部署相關(guān)產(chǎn)品用戶可進(jìn)行病毒檢測(cè)。
病毒防御
- 及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。
- 對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。
- 不要點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。
- 盡量關(guān)閉不必要的文件共享權(quán)限。
- 更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。
- GandCrab勒索軟件會(huì)利用RDP(遠(yuǎn)程桌面協(xié)議),如果業(yè)務(wù)上無需使用RDP的,建議關(guān)閉RDP。當(dāng)出現(xiàn)此類事件時(shí),推薦使用深信服防火墻,或者終端檢測(cè)響應(yīng)平臺(tái)(EDR)的微隔離功能對(duì)3389等端口進(jìn)行封堵,防止擴(kuò)散!
- 深信服下一代防火墻、終端檢測(cè)響應(yīng)平臺(tái)(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則,EDR開啟防爆破功能可進(jìn)行防御。
- 深信服下一代防火墻客戶,建議升級(jí)到AF805版本,并開啟智能安全檢測(cè)引擎SAVE,以達(dá)到最好的防御效果。
最后,建議企業(yè)對(duì)全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描,加強(qiáng)防護(hù)工作。推薦使用深信服安全感知+下一代防火墻+EDR,對(duì)內(nèi)網(wǎng)進(jìn)行感知、查殺和防護(hù)。
咨詢與服務(wù)
您可以通過以下方式聯(lián)系我們,獲取關(guān)于
GandCrab的免費(fèi)咨詢及支持服務(wù):
- 撥打電話400-630-6430轉(zhuǎn)6號(hào)線(已開通勒索軟件專線)
- 關(guān)注【深信服技術(shù)服務(wù)】微信公眾號(hào),選擇“智能服務(wù)”菜單,進(jìn)行咨詢
- PC端訪問深信服區(qū)
