堪称无法破解的“侠盗病毒”已入境,国内多家政府、机构中招!
近日出现的一款名为 GandCrab V5.2 加密货币勒索病毒,似乎大有再现 WannaCry “昔日荣光”的迹象,目前已在中国攻击了数千台政府以及企业的电脑,而各大安全团队目前还未找到破解之法,只能做好防御。
上千台政府、机构电脑感染
根据国家网络与信息安全信息通报中心监测,GandCrab V5.2 自 2019 年 3 月 11 日开始在中国肆虐,攻击了上千台政府、企业以及相关科研机构的电脑。
(夷陵区政府官网截图)
根据网络安全分析师 David Montenegro 所言,接下来 GandCrab V5.2 勒索病毒还将通过 RDP 和 VNC 扩展攻击影响中国更多的电脑。
攻击手段:垃圾邮件
GandCrab V5.2 又是如何让受害者电脑“中毒”的呢?据了解,该勒索病毒目前主要通过邮件形式攻击。
攻击者会向受害人邮箱发送一封邮件,主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min,Gap Ryong”,邮件附件名为“03-11-19.rar”。
(图片来自腾讯安全)
一旦受害者下载并打开该附件,GandCrab V5.2 在运行后将对用户主机硬盘数据全盘加密,并让受害者访问特定网址下载 Tor 浏览器,随后通过 Tor 浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。
除了垃圾邮件投放攻击,GandCrab V5.2 还有可能采用“网页挂马攻击”。即除了在一些非法网站上投放木马病毒,攻击者还可能攻击一些防护能力比较弱的正规网站,在取得网站控制权后攻击登陆该网站的用户。
另外,该病毒也有可能通过漏洞传播,利用 CVE-2019-7238(Nexus Repository Manager 3 远程代码执行漏洞)以及 weblogic 漏洞进行传播。
不可破解:地表最强的勒索病毒?
(贴吧截图)
攻击者来势汹涌,一时之间破解不了木马病毒,只能做好防御。宜昌市夷陵区政府也给出了一些应对之策,包括:
一、是不要打开来历不明的邮件附件;
二、是及时安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀;
三、是在 Windows 中禁用U盘的自动运行功能;
四、是及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;
五、是对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。
不过,慢雾安全团队指出,非 Windows 操作系统暂时并不会被感染。“GandCrab V5.2 蠕虫目前只在 Windows 上运行,其他系统还不行。”
“强悍”的病毒,也让团队在安全圈里“小有名气”。
该团队的标签之一是 “技术实力”强。
今年2月19日,Bitdefender 安全实验室专家曾根据 GandCrab 自己给出的密钥,研发出 GandCrab V5.1 之前所有版本病毒的“解药”。
然而,道高一尺,魔高一丈。今年2月18日,就在 Bitdefender 发布最新版本破解器的前一天,GrandCrab 发布了正肆虐版本(V5.2),该版本至今无法破解。
目前在暗网中,GrandCrab 幕后团队采用“勒索即服务”(“ransomware as-a-service” )的方式向黑客大肆售卖 V5.2 版本病毒。即由 GrandCrab 团队提供病毒,黑客在全球选择目标进行攻击勒索,攻击成功后 GrandCrab 团队再从中抽取 30%-40% 的利润。
“垃圾邮件制造者们,你们现在可以与网络专家进行合作,不要错失获取美好生活的门票,我们在等你。”这是GrandCrab团队在暗网中打出的“招商广告”。
值得一提的是,GandCrab 是第一个勒索 Dash 币的勒索病毒,后来才加了比特币,要加 499 美元。根据 GandCrab 团队 2018 年 12 月公布的数据,其总计收入比特币以及Dash币合计 285 万美元。
(GandCrab 收入截图)
“盗亦有道”的侠盗团队?
GandCrab 团队不仅技术高超,而且“盗亦有道”:既信守承诺给赎金就“解毒”,还曾“人道地”将叙利亚等战乱地区排除在感染地区之外,因而曾被人称为“侠盗”病毒。
2018 年 10 月16日,一位名叫 Jameel 的叙利亚父亲在 Twitter上发贴求助。Jameel 称自己的电脑感染了 GandCrab V5.0.3 并遭到加密,由于无力支付高达 600 美元的“赎金”,他再也无法看到在战争中丧生的小儿子的照片。
(Twitter截图)
GandCrab 勒索病毒制作者看到后,随即发布了一条道歉声明,称其无意感染叙利亚用户,并放出了部分叙利亚感染者的解密密钥。
GandCrab 也随之进行了 V5.0.5 更新,并将叙利亚以及其他战乱地区加进感染区域的“白名单”。此外,如果 GandCrab 监测到电脑系统使用的是俄语系语言,也会停止入侵。安全专家据此猜测病毒作者疑为俄罗斯人。
(勒索者道歉图)
一时之间,不少人对 GandCrab 生出好感,称呼其为“侠盗”。
(GrandCrab V 5.2 版本)
根据腾讯安全团队统计,GandCrab 受害者大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家。并且,GrandCrab V 5.2 版本所使用的语言主要是中文、英文以及韩文,说明中国目前已经成为其重要的攻击目标。
来源:
0daily星球日报
广东省网络安全应急响应平台
- End -
热门文章阅读
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com