www.067.net www.809.net www.350.net www.905.net
当前位置:管家婆 > www.133888.com >
关于做好GandCrab勒索病毒防范的预警通报

来源:本站原创   更新时间:2018-11-29

1、提要

GandCrab勒索病毒于2018年1月面世以来,短短一年内历经屡次版本改造,今朝最新的版本为V5。该病毒利用多种方式对企业网络进行攻击传播,受感染主机上的数据库、文档、图片、紧缩包等文件将被加密,若出有响应数据或文件的备份,将会影响营业的畸形运行。从本年9月份V5版本面世以去,GandCrab呈现了包括了5.0、5.0.2、5.0.3、5.0.4以及最新的5.0.5多个版本的变种。病毒采取Salsa20和RSA-2048算法对文件进行加密,并修正文件后缀为.GDCB、.GRAB、.KRAB或5-10位随机字母,勒索信息文件为GDCB-DECRYPT.txt、KRAB-DECRYPT.txt、[5-10随机字母]-DECRYPT.html\txt,并将沾染主机桌里配景调换为勒索信息图片。

2、病毒剖析

1、传播方式

GandCrab病毒家属重要经过RDP暴力破解、垂纶邮件、绑缚歹意硬件、僵尸收集和破绽利用传布。病毒自身没有存在蠕虫流传才能,当心会经由过程列举圆式对付网络同享姿势禁止减稀,同时袭击者常常借会经由过程内网野生浸透方法,应用心令提与、端口扫描、口令爆破等手腕对其余主机进止攻打并植进应病毒。

2、硬套范畴

Windows系统

3、远期版本变革

5.0:

第一个版本中,须要挪用xpsprint.dll,但该文明在Windows Vista跟XP中不存在,因而无奈正在上述体系中运转。

第发布个版本不再应用牢固的.CRAB或.KRAB加密后缀名,而是5个字母的随机后缀名。

5.0.1:

此版本修复了一些法式内部错误,但不进行其他严重变动。

5.0.2:

此版本将随机扩大名少量从5个字符更改成10个字符,并修复了一些外部毛病。

5.0.3:

此版本会通过释放名为wermgr.exe的恶意顺序来履行加密草拟。

5.0.4:

建复了不克不及在Windows Vista和XP系统中运行的过错,硬编码了一张人像图片,并在病毒运行时开释到磁盘中。

5.0.5:

调换了加密密钥,以抗衡Bitdefender等厂商供给的解密对象。混杂加密,除非拿到乌客控制的公钥,不然解密的可能性微不足道。果此,应答勒索病毒攻击,做好网络保险防备办法最为要害。

3、样天职析

病毒行动:

1、停止以下过程,个中包含数据库、office套件、游戏宾户端等:

mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、sqlservr.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe

2、检测键盘结构,金六福心水论坛,对指定说话地区主机不进行加密,如俄罗斯,但不包括中国。

3、遍历当地磁盘及网络共享资源,加密除白名单之外的贪图文件,并天生勒索疑息文件,此中白名单包括文件扩展名、系统目次及系统文件(加密白名单详睹附录)。

标签 病毒 文件 黑名单 讹诈病毒 主机


友情链接