超强勒索病毒GandCrab再现新版5.3 躲避警方出新招 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛企业产品讨论区 瑞星ESM防病毒终端安全防护系统超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[产品资讯] 超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2019-04-24 17:11 \| 只看楼主短消息资料字号：小中大 1楼超强勒索病毒GandCrab再现新版5.3 躲避警方出新招近日，瑞星安全专家捕获到最新勒索病毒GandCrab 5.3变种，此版本延续了5.2版本的主要技术，用户一旦中毒文件将无法打开，同时桌面背景图片会被修改为勒索信息，需要交纳赎金才可解密。而此次5.3版本与之前最大的不同之处在于，攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金，这极有可能是为了躲避警方的追查。图：勒索信息支付赎金方式改为邮件瑞星安全专家分析攻击者此次修改的原因有两种可能，第一种是部分受害者不知道如何访问病毒作者留下的暗网地址，所以无法与病毒作者取得联系，导致无法缴纳赎金；另一种情况是GandCrab 5.2之前版本的解密密钥托管在暗网服务器中，被欧洲多国警方合作追踪到了控制服务器，从而获取到了托管在服务器中的解密密钥，因此攻击者要求通过邮箱联系，可能是躲避追查。瑞星公司提醒广大用户切勿点击陌生邮件，安装有效杀毒软件，以防被勒索病毒攻击。目前，瑞星所有个人及企业级产品均可对GandCrab 5.3勒索病毒进行查杀，瑞星之剑（下载地址：http://www.rising.com.cn/j/）可以有效拦截该勒索病毒。图：瑞星ESM与瑞星之剑拦截查杀截图麦青儿最后编辑于 2019-04-24 17:15:23
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	分享到：

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2019-04-24 17:12 \| 只看楼主短消息资料字号：小中大 2楼回复: 超强勒索病毒GandCrab再现新版5.3 躲避警方出新招技术分析勒索病毒GandCrab 5.3运行后获取当前计算机语言，与病毒内置语言列表中的语言进行对比，如果本机语言在列表中则退出，不执行加密操作。图：判断计算机语言病毒会结束指定进程，防止文件被占用无法加密，主要是针对数据库和办公软件的进程。图：查找指定进程解密出RSA公钥，此公钥和之前捕获的V5.2版本的公钥相同。图：解密出RSA公钥获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息，追加上勒索版本V5.3。图：获取的本机信息使用RC4算法将获取到的本机信息加密，发送给控制服务器用于统计感染量。图：加密后的本机信息在做好准备工作之后，病毒会创建线程开始加密文件。图：创建线程加密遍历磁盘中的文件。图：遍历文件加密时排除一些文件和文件夹，防止系统无法正常运行。图：排除指定文件文件的内容被Salsa20算法加密，文件名被追加上随机后缀。图：被加密文件删除系统自带的卷影备份。图：删除卷影备份修改桌面背景图片，显示勒索信息。图：修改桌面背景图：修改后的桌面背景加密完成后退出，并调用cmd删除自身文件。图：删除自身文件麦青儿最后编辑于 2019-04-24 17:17:22
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2019-04-24 17:12 \| 只看楼主短消息资料字号：小中大 3楼回复: 超强勒索病毒GandCrab再现新版5.3 躲避警方出新招防范措施：不打开陌生或可疑邮件，不下载邮件附件。浏览网页时不下载运行可疑程序。及时更新系统、漏洞补丁。不使用弱口令密码。多台机器不使用相同密码。安装杀毒软件及时更新病毒库。安装防勒索软件，防止未知病毒变种加密文件。麦青儿最后编辑于 2019-04-24 17:15:51
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT