首页
会员中心
到顶部
到尾部
海外资讯

侠盗病毒席卷而来,我国成为重要目标

时间:2019/4/10 9:52:13  作者:www.idcicp.com  来源:网摘  查看:124  评论:0
内容摘要:侠盗病毒席卷而来,我国成为重要目标据互联先锋(www.topnets.com)2019年4月10日讯,近日,多家政府和企业单位曝出遭受勒索病毒攻击的信息,根据国家网络与信息安全信息通报中心监测,GandCrab V5.2 自 2019 年 3 月 11 日开始在中...

侠盗病毒席卷而来,我国成为重要目标

据互联先锋(www.topnets.com)2019年4月10日讯,近日,多家政府和企业单位曝出遭受勒索病毒攻击的信息,根据国家网络与信息安全信息通报中心监测,GandCrab V5.2 自 2019 年 3 月 11 日开始在中国肆虐,攻击了上千台政府、企业以及相关科研机构的电脑。

 

  目前,湖北省宜昌市夷陵区政府、中国科学院金属研究所、云南师范大学以及大连市公安局等政府、企业、高校均在其官网发布了防范病毒攻击的公告。

 

  该勒索病毒名为GandCrab V5.2,在全球范围内已经攻击了巴西、美国、印度、印度尼西亚和巴基斯坦等多个国家,目前的情况来看,中国已经成为了该病毒的目标之一。

 

一、为何成为“侠盗病毒”

 

  这款GandCrab勒索病毒诞生于2018年1月,是一种新型的比特币勒索病毒。自诞生后的几个月里,迅速成为一颗新星,技术实力强是该团队的标签之一。由于其既信守承诺给赎金就解毒,还曾人道地将叙利亚等战乱地区排除在感染地区之外,因而也曾被人称为侠盗病毒。

 

  此前,安全狗曾针对该病毒较早的版本进行过分析,用户可对照进行参考。

 

二、攻击传播手段

 

  根据目前的分析,GandCrab V5.2勒索病毒目前主要通过邮件形式攻击。攻击者首先会向受害人邮箱发送一封邮件,主题为你必须在3月11日下午3点向警察局报到!,发件人名为Min,Gap Ryong,邮件附件名为03-11-19.rar

 

  受害者一旦下载并打开该附件,GandCrab V5.2会立刻对用户主机硬盘数据进行全盘加密,并让受害者访问特定网址下载Tor浏览器,随后通过Tor浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。

 

  目前此勒索病毒的主要攻击方式,仍是邮件为主。除了垃圾邮件,GandCrab V5.2还有可能采用网页挂马攻击,即除了在一些非法网站上投放木马病毒,攻击者还可能攻击一些防护能力比较弱的正规网站,在取得网站控制权后攻击登陆该网站的用户;另外,该病毒也有可能通过CVE-2019-7238(Nexus Repository Manager 3远程代码执行漏洞)以及Weblogic等漏洞进行传播。

 

三、破解方案

 

  今年2月19日,业内曾有专家曾根据GandCrab自己给出的密钥,研发出了GandCrab V5.1之前所有版本病毒的解药,但随后GrandCrab的技术团队就发布了目前肆虐的版本V5.2,至今无法破解。

 

  目前在暗网中,GrandCrab幕后团队采用勒索即服务(ransomware as-a-service )的方式,向黑客大肆售卖V5.2版本病毒,即由GrandCrab团队提供病毒,黑客在全球选择目标进行攻击勒索,攻击成功后 GrandCrab团队再从中抽取30%-40%的利润。

 

  当前网络上有人声称可以破解 GandCrab V5.2的企业和个人,但要求提前付费,业内普遍认为其根本没有能力对病毒进行破解,所谓的可以破解GandCrab V5.2,其实是代理破解,即代勒索者收取费用,从勒索者处获得解密密钥(破解)。

 

四、如何应对防御

 

  针对该家族的勒索病毒,可以通过以下手段尽可能地预防

 

  1、及时给电脑打补丁,修复漏洞。

 

  2、对重要的数据文件定期进行非本地备份。

 

  3、不要点击来源不明的邮件附件,不从不明网站下载软件。

 

  4、尽量关闭不必要的文件共享权限。

 

  5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

 

 

另外需要

 

  1、检测并修复弱口令

 

  2、制定严格的端口管理策略

 

  3、设置防爆破策略

 

  4、一键更新漏洞补丁

 

  5、病毒木马检测

 

  ②事中防御

 

  1、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。

 

  2、结合威胁情报提供的远控或高危黑IP,感知可能正在发生的攻击事件

 

  ③事后处置

 

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。可开启IPS和僵尸网络功能进行封堵。

3、查找攻击源:手工抓包分析或借助安全狗啸天态势感知平台快速查找攻击源,避免更多主机持续感染。

4、查杀病毒:推荐使用安全狗进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。

 


 


相关评论
评论者:      
深圳互联先锋科技有限公司 7x24小时服务热线:400-688-5856 电话总机:0755-36866868
客服中心:深圳市福田区深南中路华联大厦2楼  技术中心:香港九龍旺角道33號凱途發展大廈7樓
粤ICP备09077082号
Powered by OTCMS V2.2