关于防范勒索病毒GANDCRAB攻击的预警

作者:???深圳市网安计算机安全检测技术有限公司 2019/03/14 09:46:48 423次阅读 国际

一、概述

? ? ? ?根据国家网络与信息安全信息通报中心监测发现,2019年3月11曰起,境外某组织对我国有关政府部门开展勒索病毒邮件攻击。邮件主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min, Gap Ryong”,邮件附件名为“03-19.rar”。

? ? ? ?运行后将对用户主机硬盘,数据全盘加密,并让受害用户访问网址“https://www.torpmject.org/”下载Tor浏览器,随后通过Tor浏览器登录攻击者的数字货币支付窗口“ http://gandcrabmfe6mnef.onion/1812a265c3857fa”,要求受害用户缴纳赎金。目前,我国部分政府部门邮箱已遭到攻击。


? ? ? ?经分析研判,该勒索病毒版本号为GANDCRAB V5 .2 , 是2019年2月最新升级的勒索病毒版本。GandCrab勒索病毒是2018年勒索病毒家族中最活跃的家族,该勒索病毒首次出现于2018年1月,在将近一年的时间内,经历了五个大版本的更新迭代,此勒索病毒的传播感染多式多种多样,使用的技术也不断升级,勒索病毒主要采用RSA+salsa20相结合的加密算法,导致加密后的文件,无法被解密。


87a63f736e92f7acb50c5d2e89c049ab.png

二、解决方案

? ? ? ?针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

三、安全建议

? ? ? ? 1. 不要点击来源不明的邮件以及附件,不从不明网站下载相关的软件;
? ? ? ? 2. 及时给电脑打补丁,修复漏洞,防止病毒利用漏洞传播;
? ? ? ? 3. 对重要的数据文件定期进行非本地备份;
? ? ? ? 4. 安装专业的终端/服务器安全防护软件;
? ? ? ? 5. 定期用专业的反病毒软件进行安全查杀;
? ? ? ? 6. 尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;
? ? ? ? 7. Windows中禁用U盘的自动运行功能;
? ? ? ? 8. 对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。

四、参考链接

? ? ? ? 参考链接: https://www.freebuf.com/articles/terminal/194995.html?


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室