<xmp id="ak3ky">
<xmp id="ak3ky"><xmp id="ak3ky">
<ins id="ak3ky"><xmp id="ak3ky"><form id="ak3ky"></form>
<button id="ak3ky"><form id="ak3ky"><ins id="ak3ky"></ins></form></button><form id="ak3ky"></form><xmp id="ak3ky"><form id="ak3ky"></form><form id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form></form><xmp id="ak3ky"><form id="ak3ky"></form><xmp id="ak3ky"><xmp id="ak3ky"><form id="ak3ky"></form>
<form id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form></form><xmp id="ak3ky">
<form id="ak3ky"><form id="ak3ky"></form></form><form id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form></form>
<xmp id="ak3ky">
<xmp id="ak3ky"><form id="ak3ky"></form><xmp id="ak3ky"><xmp id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form><xmp id="ak3ky"><form id="ak3ky"></form>
<form id="ak3ky"></form><xmp id="ak3ky"><form id="ak3ky"><form id="ak3ky"></form></form>
<form id="ak3ky"><button id="ak3ky"></button></form><xmp id="ak3ky"><form id="ak3ky"></form><xmp id="ak3ky">
<form id="ak3ky"></form><xmp id="ak3ky"><form id="ak3ky"></form><form id="ak3ky"></form><xmp id="ak3ky"><form id="ak3ky"></form><form id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form></form><xmp id="ak3ky"><form id="ak3ky"></form>
<xmp id="ak3ky"><form id="ak3ky"><form id="ak3ky"></form></form>
我們在發展

國內外市場占有率不斷增長

當前位置:首頁 > 資訊中心 > 行業新聞
安全預警:GandCrab4.0勒索變種來襲
發布時間:2018-09-20

 

來源:深信服官網

原文鏈接:http://www.sangfor.com.cn/about/source-news-company-news/1094.html

 

 

 

近日,深信服安全團隊發現GandCrab4.0活躍度提升,跟蹤到多起GandCrab4.0變種勒索事件,現發布安全預警,提醒廣大用戶預防GandCrab4.0勒索。

 

 

GandCrab4.0變種采用RSA+AES加密算法,將系統中的大部分文檔文件加密為.KRAB后綴的文件,然后對用戶進行勒索。該勒索病毒主要通過RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播,其自身不具備感染傳播能力,不會主動對局域網的其他設備發起攻擊,會加密局域網共享目錄文件夾下的文件。

 

病毒名稱:GandCrab4.0變種

病毒性質:勒索病毒

影響范圍:大部分集中在巴西、美國、印度、印度尼西亞和巴基斯坦等國家,近期開始在國內活躍

危害等級:高危

傳播方式:郵件、漏洞、垃圾網站掛馬等方式傳播,不具備內網傳播能力

 

 

病毒分析

 

病毒描述

GandCrab勒索病毒是2018年上半年傳播范圍最廣、攻擊頻率最高的勒索病毒之一。該勒索家族于2018年01月被首次發現后,短短幾個月的時間,就連續出現了V1.0,V2.0,V2.1,V3.0,V4.0等變種,非常活躍,目前此勒索病毒采用RSA+AES加密算法,無法被解密。

 

該勒索病毒主要通過RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播,其自身不具備感染傳播能力,不會主動對局域網的其他設備發起攻擊,會加密局域網共享目錄文件夾下的文件。

 

 

 

樣本分析

該勒索病毒的場景流程圖如下所示:

 

 

 

混淆加密&&內存解密:

 

樣本經過多層封裝與代碼混淆,代碼會經過幾層解密操作,在內存中解密出勒索病毒Payload代碼,最后進行內存拷貝,屬性更改之后,跳轉到相應的勒索Payload入口點執行勒索操作。

 

 

 

提升權限:

 

進行自我提權,將病毒自身的進程權限提高,以更高權限執行任意操作。

 

 

殺進程:

 

該勒索軟件進行遍歷進程的操作,并結束相關的進程,相關的進程列表如下:

 

 

 

區域豁免:

 

該病毒對俄羅斯、烏茲別克斯坦、亞利桑那州等區域進行了保護,做了主機豁免的動作,通過查詢操作系統安裝的輸入法和操作系統語言版本,確定是否豁免主機。

 

 

生成公鑰:

 

利用程序中硬編碼的數據,生成加密RSA的公鑰public:

 

 

 

 

加密文件:

 

遍歷主機文件目錄,生成以.KRAB為后綴的加密文件,如下圖所示:

 

 

 

刪除卷影:

 

加密完成之后,通過ShellExecuteW函數調用wmic.exe程序,刪除磁盤卷影。

 

 

最后,彈出勒索信息文件

 

 

 

解決方案

 

深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范此次勒索攻擊。

 

 

病毒檢測查殺

 

1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

 

2、深信服EDR產品及防火墻等安全產品均具備病毒檢測能力,部署相關產品用戶可進行病毒檢測。

 

 

病毒防御

 

1、及時給電腦打補丁,修復漏洞。

2、對重要的數據文件定期進行非本地備份。

3、不要點擊來源不明的郵件附件,不從不明網站下載軟件。

4、盡量關閉不必要的文件共享權限。

5、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。

6、GandCrab勒索軟件之前的變種會利用RDP(遠程桌面協議),如果業務上無需使用RDP的,建議關閉RDP。當出現此類事件時,推薦使用深信服防火墻,或者終端檢測響應平臺(EDR)的微隔離功能對3389等端口進行封堵,防止擴散!

7、深信服防火墻、終端檢測響應平臺(EDR)均有防爆破功能,防火墻開啟此功能并啟用11080051、11080027、11080016規則,EDR開啟防爆破功能可進行防御。

 

 

最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。推薦使用深信服安全感知+防火墻+EDR,對內網進行感知、查殺和防護。

 

 

 

咨詢與服務

 

您可以通過以下方式聯系我們,獲取關于GandCrab的免費咨詢及支持服務

1)撥打電話400-630-6430轉6號線(已開通勒索軟件專線)

2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢

3)PC端訪問深信服社區 bbs.sangfor.com.cn,選擇右側智能客服,進行咨詢

 

yellow片视频在线观看完整版高清,最新AV网站基地网,日韩Av片永久免费水多多