号称完美破解GandCrab勒索病毒的某厂商,你真的不会脸红吗?

释放双眼,带上耳机,听听看~!

新的勒索病毒全球爆发,我们如何自保?

昨天深夜,收到卡巴斯基发过来的一封邮件,告知发现新的勒索病毒。          该勒索病毒变种本周二在全球爆发,英国(WPP)、乌克兰、波兰、意大利、丹麦(Maersk)、俄罗斯(Rosnoft)美国(Merck)多家大型企业报告遭受病毒袭击,其中重灾区乌克兰的政府、

首先,我声明一下为什么要写这篇文章,有两个原因,一是有同学问我:你不是说勒索病毒基本上无解吗?为什么这次这么快就公布出来密钥了呢?二是我今天看到某数字公司公众号发的一篇文章《席卷全球的勒索病毒GandCrab,已被XXX安全大脑完美攻克解密!》,顿时被恶心到了。

在我的另一篇文章中,我说过,目前能解密的只有三种情况:

1、恶意软件编写者犯了一个执行上的错误,因此被加密的文件得以破解。

2、恶意软件的编写者感到内疚,因此发布了密钥或主密钥。

3、执法机构搜获一台带有密钥的服务器并进行了分享。

gandcrab v1版本密钥被公布是因为第三个原因,即罗马尼亚的警察搜获了作者的服务器。那么这次的公布又是因为什么呢?

我们在暗网的一个黑客论坛上找到了答案:上周,GandCrab团伙在给黑客论坛的帖子中说,他们发布了公开解密密钥,允许叙利亚的受害者免费恢复他们的档案,称叙利亚从未被列入预定目标名单。密钥释放之前,一名叙利亚受害者在推特上说,赎金器已经加密了他的孩子的照片,该孩子在该国的战争中丧生。下图为孩子父亲的推特

下图为GandCrab组织的道歉信:

GandCrab组织在道歉信中说:

我们读了这条微博。我们已经决定帮助叙利亚人民,并把所有的密钥都放在这个国家所有版本的加密文件中。我们不得不承认我们最初没有把这个国家列入例外名单是错误的,对此我们感到遗憾,叙利亚公民可以去付款页下载解密器。对于那些不能抗病毒的人,可以写一个解密器,他们可以从网上下载。

我可以向你保证其他的钥匙不会被贴在那里…如果它们肯定不会成为独联体的一部分,这就是例外。

来自螃蟹的爱,不同国家,信仰和信仰。

(以上内容使用百度翻译,翻译不准确的不要骂我啊)

看到了吗?是黑客因为一个在战争中死亡的叙利亚孩子的照片被加密,而主动公布了所有密钥,并将叙利亚排除在了感染名单中。黑客组织公布了原有版本的密钥,并重新发布了新的V5.0.5版本,将叙利亚和其他独联体国家(俄语国家)排除在了感染列表之外。这批密钥最早由比特凡德获取,并发布了解密工具,公布在其官方网站和国际刑警组织nomoreransom反勒索病毒网站。

下载地址:https://labs.bitdefender.com/2018/10/gandcrab-ransomware-decryption-tool-available-for-free/

或者:https://www.nomoreransom.org/zh/index.html

(下图为黑客公布的密钥)

美国气象电视台被勒索病毒感染,导致节目无法按时播出

The Weather Channel节目示意图(图片来源: https://twitter.com/weatherchannel/status/1118849699388248064) 据外媒报道:美国气象电视台(The Weather Channel)每天早上开播的America’s Morning Headquarters(AMHQ)晨间新闻暨气象节目在4月18日开了天

某数字厂商真的是越来越让人无语了,自己都不觉得脸红吗?连这种事都拿来往自己脸上贴金,而且看下面的评论,里面还有bitdefend.com(比特凡德)的字样。如果你真的这么厉害,不如把V5.0.4和V5.0.5也尽快解了吧,世界人民一定会非常感激你们的。

上篇文章中我曾经说过,GANDCRAB勒索病毒采用RAAS(勒索即服务)的方式进行特许经营,在暗网可以找到该病毒的生成器,不止这个病毒,其他勒索病毒的生成器也可以找到。

下图是暗网上的勒索病毒生成器:

勒索病毒已经变成了一个完整的黑色产业链,短时期内勒索病毒不会消失和减少,只会越来越多,大家还是不要掉以轻心。像这次GandCrab组织良心发现主动公布密钥的事毕竟不太靠谱,最重要的还是我们自己要加强防范:

1、及时给系统打补丁。结合最近遇到的几个GandCrab的感染案例,我们发现,被感染服务器大多为中间件服务器,且有目标性。涵盖tomcat、jboss、weblogic等,有足够证据表明gandcrab非常喜欢通过应用漏洞层面进一步渗透。比如上个月某百货公司被GandCrab V4.0加密,检测后发现黑客是通过JBOSS漏洞入侵系统,这次这个用户感染V5.0.3是通过weblogic漏洞入侵系统。前一段成都一个客户感染是通过tomcat漏洞入侵系统。所以请大家在关注给操作系统打补丁的同时,也要注意应用程序尤其是中间件的补丁也一定要打上。

2、安装专业靠谱的杀毒软件,并开启主动防御功能。

3、对外业务系统屏蔽远程登录端口以及其他高危端口,为你的系统设置复杂的强口令,有条件的部署应用防火墙或者漏洞扫描,及时发现和阻止通过漏洞进行的攻击。

4、也是最重要的一点,那就是备份!备份!备份。而且一定要注意,备份数据不可以和原始数据放在一起,一定要离线存储。

最后提醒一下大家:防范不是靠一种手段就可以解决的。

  1. 仅靠打补丁不行。以GandCrab病毒为例,利用了两个0day漏洞,有一个微软至今还没有补上。

  2. 只靠杀毒软件不行。最近遇到的几例用户都安装的有杀毒软件,而且已经进行了有效的拦截,后来黑客通过破解密码进行远程登录关闭杀毒软件从而进行了感染(参看我之前的文章《一场由密码引发的惨案!》),还有几例是通过漏洞绕过杀毒软件的。所以千万不要把希望都寄托在防病毒软件上。当然了,因此就不装杀毒软件更是万万不可的。

  3. 任何的防范手段都不能保证百分百的安全。数据备份与灾难恢复是数据安全的最后一道防线。

注:订阅号每天只能发一篇,今天早上发了一篇,所以只能坚持到过了12点再发这一篇了。

感谢邵博同学提供暗网图片。

欢迎扫描二维码关注:大兵说安全

本文源自微信公众号:大兵说安全

(视频)看黑客如何在ATM上盗取现金

  凤凰卫视7月12日报道,台湾第一金控旗下第一银行(简称“一银”)部分ATM遭到黑客攻击,嫌犯在没有使用银行卡,没有操作或破坏提款机的情况下,盗领超过新台币7000万元。这是台湾地区金融史上首见的利用黑客技术进行盗取的犯罪案件。但在国际上却并不是首次

人已赞赏
安全工具

好消息,新勒索病毒不用支付比特币了......

2019-10-14 17:33:41

安全工具

新的勒索病毒全球爆发,我们如何自保?

2019-10-14 17:33:46

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索