注意:GandCrab勒索病毒出现5.0.3版本

释放双眼,带上耳机,听听看~!

实施灾难恢复方案要注意的因素

在上文中(《灾难恢复能力国家标准等级介绍》),我们讲了国家对于灾难恢复能力的国家标准。 那么,在实施建设灾难恢复方案的时候,还有哪些因素是我们必须考虑到的呢,这里提出几点供参考。   一、要考虑到可能会破坏基础设施和数据运行的所有可能性。除了

10月23号,我们工程师收到求助,一家单位被勒索病毒加密了,技术人员远程看了一下,发现是最新的GandCrab5.0.3版本,这是截止目前发现的GandCrab家族最新的变种(上个月刚处理过它的V4.0版本病毒),马上安排工程师赶到现场,利用Acronis将用户环境镜像了过来,在我公司的虚拟器上恢复出来的用户环境,从中取到了病毒样本,进行了测试。

该病毒是gandcrab勒索家族最新的版本5.0.3,加密后的后缀名为:pyzsqfw(随机字符)

D

通过测试,还有一些杀毒软件无法查杀,这个病毒被卡巴斯基命名为:Trojan-Ransom.W32.Crypmod.gen,通过病毒作者留下的暗网地址,登录到暗网可以看到相应的页面。

说起这个gandcrab,跟我也算有缘。从1.0版本开始,每一个版本都被我碰到了。下面就跟大家来聊聊这个积极进取的螃蟹:

GandCrab勒索病毒堪称2018年勒索病毒界的“新星”,堪比WannaCry、GlobeImposter和Satan。该勒索家族于2018年01月底面世,短短几个月的时间,历经五大版本更迭。

我在1月31号第一次收到该病毒的感染报告,最后用户支付了1.5达世币,约合一万元人民币,得到解密工具。

3月初,该病毒服务器被罗马尼亚著名防病毒公司比特芃德与警方合作攻破,获得密钥,并制作了解密工具,免费解密被加密的文件(详见我上一篇文章《来看看你被勒索病毒加密的文件是否可解》)。

很快,病毒开发人员开发出了GandCrab V2版本,在V2家族的样本中,病毒作者使用极具挑衅意味的C&C地址malwarehunterteam.bit。并将服务器主机命名为politiaromana.bit,挑衅罗马尼亚警方。

我在3月12号收到V2.0版本的感染报告:

疑似12306信息泄露,请抓紧改密码

据FreeBuf等的爆料,疑似12306数据在暗网上遭到兜售,据称这份数据包括60万账户信息、410万联系人数据。 据称,相关的信息包含了ID、手机号、密码之外,连姓名、身份证、邮箱、问题及答案在内,较为详细。这些数据的打包售价仅为20美元。 但12306还是一如继往

V1.0和V2.0加密的后缀名都是GDCB。

5月份,GandCrab推出3.0版本。感染后后缀名更改为CRAB。

7月份,推出V4版本,后缀后改为KRAB。勒索499美元。

9月份,推出V5.0版本。勒索金额改为998美元,后缀名改为随机字符。GandCrab 5.0通过感染U盘、硬盘压缩文件、网页目录传播,局域网内爆破VNC 5900端口、RDP3389弱口令传播,安全措施不足的企业内网将受到冲击。例如,该病毒会感染U盘、移动硬盘,并配置自动播放模式传播,在其他电脑插上已染毒U盘时病毒程序得以自动运行。而硬盘Web目录受到感染后,会用病毒程序覆盖该目录下的EXE文件。如果该目录被发布到网站,下载程序的电脑就可能中毒,利用RigEK、FalloutEK漏洞工具包,进行网页挂马攻击等。值得一提的是,和以往的版本一样,GandCrab 5.0勒索病毒检测到系统为俄语版本或多个俄语系国家时,会停止运行,并删除自身。

10月初出现V5.0.2版本,特点是在每个目录下新生成一个 *-DECRYPT.TXT 文件。这次发现的是V5.0.3版本,具体的区别还需要后续的分析才可以得到。

说起这个GandCrab,相比其他的勒索病毒,还是很有特点的:

1、这是第一个(也是目前唯一一个)接受达世币(DASH)付款的勒索病毒。其他的大多是接受比特币付款。

2、第一个使用Namecoin的BIT域名的勒索病毒。(Namecoin是一个基于比特币技术的分布式域名系统,是一种去中心化的域名系统,不需要通过ICANN管理,更详细的介绍,大家可以自行百度一下)

3、这是一个采用特许经营模式的勒索病毒。以RAAS(Ransomware-as-a-Service勒索即服务)的方式经营,而且要求GandCrab的合作伙伴不要针对讲俄语的国家,技术专家已经通知GandCrab开发商向合作伙伴提供60%的收入,并有可能将其份额增加到70%左右。也正是因为如此,GandCrab已经不仅仅是一个勒索病毒,而是做为一门生意在运行,有完整的产销链,这也是该病毒兴盛不衰发展迅速的一个重要原因。

好消息是,现在您可以在不向网络罪犯支付一分钱的情况下恢复您的数据,因为Bitdefender在10月25日又新发布了一个免费的实用程序,可以自动执行数据解密过程。此工具恢复由GandCrab勒索软件版本1,4和5加密的文件。您可以通过附加到加密文件和/或勒索信息的扩展程序识别此勒索软件及其版本。

下载地址:https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/

或者:https://www.nomoreransom.org/zh/index.html


注:在笔者本篇文章准备发布时,发现目前最新的版本已升级为V5.0.4

欢迎扫描二维码关注:大兵说安全

本文源自微信公众号:大兵说安全

企业信息安全投资回报率ROI的计算

网络在给我们打开一扇窗的同时,也打开了潘多拉魔盒。病毒攻击、硬件意外、数据丢失和业务停顿等,接二连三,只能让人叫苦连天,后悔不堪。做为单位的信息主管,很多人考虑的是如何给单位网络最大的安全,但往往报上去的方案和预算被领导否掉,是领导不懂吗?

人已赞赏
安全工具

漫谈信息安全——手机篇(1)

2019-10-14 17:31:51

安全工具

实施灾难恢复方案要注意的因素

2019-10-14 17:31:58

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索