154期报告汇总
安天发布《GandCrab V5 勒索木马分析报告》
近 日, 安 天 CERT( 安 全 研 究 与 应 急处理中心)在梳理网络安全事件时发现 GandCrab 勒索木马已经出现了第五个版本, GandCrab V5。其拥有一些明显的变化,最 明显的就是它使用了 5 个随机字符作为加密 文件的扩展名并且增加了 html 格式的勒索信 息。
研究人员发现,GandCrab V5 勒索软件 目前正通过广告件进行传播,样本运行后会 重定向到带有 Fallout 漏洞利用工具包的网站。 由于漏洞利用工具包利用访问者系统中的漏 洞来安装恶意代码,受害者将在不知情的情 况下被感染,直到他们发现加密文件和勒索 信息为止。
GandCrab V5 运 行 后, 将 扫 描 计 算 机和任何网络共享文件进行加密。扫描网络共 享时,它会枚举网络上的所有共享,而不仅 仅是映射的驱动器。当遇到目标文件时,它 将加密文件,然后附加一个随机的 5 个字符 的扩展名。在加密文件时,勒索软件还会 创 建 名 为 [extension] -DECRYPT.html 和 [EXTENSION] -DECRYPT.txt 的勒索信息, 其中包括文件加密的说明以及如何访问 Tor 网站以支付赎金的说明,该域名为 http:// gandcrabmfe6mnef.onion。受害者通过链接访 问 Tor 网站后,会显示赎金金额以及如何支 付以获取解密工具的说明。目前勒索金额为 价值 800 美元的达世币(DASH)。
安天 CERT 提醒广大网络使用者,要 提高网络安全意识,在日常工作中要及时进行系统更新和漏洞修复,不要随意下载非正 版的应用软件、非官方游戏、注册机等。收 发邮件时要确认收发来源是否可靠,更加不 要随意点击或者复制邮件中的网址,不要轻 易下载来源不明的附件,发现网络异常要提 高警惕并及时采取应对措施,养成及时更新 操作系统和软件应用的好习惯。确保没有任 何计算机运行直接连接到 Internet 的远程桌 面服务,而是将运行远程桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。 同时也要做好文件的备份,以防止勒索软件 加密重要文件后无法恢复。
目前,安天追影产品已经实现了对该类 恶意代码的检出。
