电脑装配网

勒索病毒GANDCRAB V5.2预警

 人阅读 | 作者pangding | 时间:2022-09-17 17:39

1.病毒版本

近日,安恒应急响应中心在持续关注GANDCRAB勒索病毒传播情况时发现,目前该勒索病毒依然活跃,虽然病毒有多种传播方式,但主要还通过邮件附件传播较多,有伪装成*.jpg或*.bmp的可执行文件,有压缩打包*.js文件的,然后调用powershell下载加密程序,也有*.js直接释放的版本,还有利用Office宏下载vbs脚本再下载加密程序的等各种版本。

2.网络特征

病毒运行时会请求www.kakaocorp.link这个C2域名,如果局域网出口流量监测到有对该域名的请求,表示网络中可能有主机已中招,需要及时排查,不过病毒后续版本可能会更改成其他C2域名,请及时关注最新安全预警。

3.主机防御

建议在具有安全隔离的虚拟机系统中打开邮件附件,同时取消打勾“文件夹选项->查看->隐藏已知文件类型的扩展名”,这种状态下可看到文件实际扩展名,对*.jpg.exe、*.bmp.exe、*.js、*.vbs等可执行文件谨慎点击(点击即会运行)。

4.病毒样本

该勒索病毒目前是5.2版本,www.nomoreransom.org网站上可以找到针对V5.1之前部分版本的解密工具,但对5.2版本无效,一些5.2版本的样本在2018年8月编译,文件是韩文的.doc文档(例如:의제.doc),通过Office宏下载vbs脚本再下载加密程序,另一些JS直接释放的版本编译时间为2018年4月,VirusTotal中暂无记录。

5.安全建议

对于勒索病毒的通用防护方案是合理的备份系统文件(该病毒会通过vssadmin命令删除本机卷影副本,因此最好把文件备份到独立存储中),同时保持良好的在安全隔离虚拟机系统中运行邮件附件的习惯,也可以部署必要的安全防护软件拦截针对恶意加密行为的函数执行。


文章标签:

本文链接:『转载请注明出处』