近日,腾讯智慧安全威胁情报中心监测发现,GandCrab勒索软件家族已升级至5.0版本,并以各种方式对企业网络进行重点攻击和传播。企业信息系统一旦被攻击,会暂时无法解密。如果被攻击的企业用户不能及时备份重要的系统数据,将会遭受不可挽回的损失,网络安全也将受到严重威胁。
据腾讯智慧安全技术的安全专家介绍,目前捕获的GandCrab勒索病毒5.0版本的有效载荷,由PowerShell解码,最终注入PowerShell进程执行。主要变化是加密文件扩展名后缀随机生成5个英文字符。同时,该病毒会对用户加密后的桌面壁纸进行修改,从而进一步提示用户进行信息敲诈。目前GandCrab勒索软件5.0版本的赎金金额也水涨船高,从之前的499美元涨到了998美元,几乎翻了一倍。
(图:要求受害者支付998美元比特币或大石购买解密工具)
作为2018年最活跃的勒索病毒家族之一,GandCrab勒索病毒自年初出现以来,已经升级了五次。利用无缝恶意广告软件、puddle攻击、邮件传输、GrandSoft漏洞利用工具包等手段进行传播。同时,其变种更新快,平均每两个月就有一个变种,威胁用户网络安全。
分析表明,勒索病毒GandCrab5.0通过被感染的u盘、硬盘压缩文件、web目录进行传播,局域网内的VNC5900端口和RDP3389弱密码传播,安全措施不足的企业内网将受到冲击。比如病毒会感染u盘和移动硬盘,会在自动播放模式下传播。当其他电脑插入受感染的u盘时,病毒程序会自动运行。当硬盘Web目录被感染后,会用病毒程序覆盖目录中的EXE文件。如果将目录发布到网站,下载该程序的电脑可能中毒,RigEK和辐射Tek漏洞工具包可能被用来攻击网页。值得一提的是,和之前的版本一样,GandCrab5.0勒索软件在检测到系统是俄语版或几个俄语国家时,会停止运行并自我删除。
目前,GandCrab勒索软件家族对企业和个人用户都构成了严重威胁。两者的区别在于,遇到勒索软件后,个人用户可以选择重装系统,但企业用户一旦“中招”,损失惨重,一些没有可靠备份系统的企业往往被勒索成功。
为避免此类攻击的再次发生,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大企业网管,建议修改管理后台默认页面路径,设置白名单限制登录,修改弱密码密码,避免服务操作权限过高;尽量关闭不必要的端口,3389端口可以加入白名单;使用强密码,避免使用弱密码,定期更换密码。服务器密码建议使用强密码和不规则密码,强制每台服务器使用不同的密码管理。
(图:腾讯御点,企业级产品)
同时,马劲松建议终端和服务器部署专业的安全防护软件,如Web服务器上的腾讯云等具备专业安全防护能力的云服务,全面提升企业网络抵御攻击威胁的能力,全网安装御点终端安全管理系统。宇电终端安全管理系统具有终端杀毒统一管控、漏洞修复统一管控、策略管控等全方位安全管理功能,可以帮助企业管理者全面了解、管理和保护企业安全。
–
1.本文引自网络,旨在传递更多网络信息。仅代表作者本人观点,与本网无关。
2.本文仅供读者参考。本网站尚未证实此事