近日,腾讯智能安全御剑威胁情报中心监测发现,GandCrab勒索病毒家族已升级至5.0版本,并采用多种方式重点针对企业网络来传播攻击。
,一旦企业信息系统受到攻击,将暂时无法解密。
受攻击的企业用户如果未能及时备份重要系统数据,将遭受不可挽回的损失,网络安全将受到严重威胁。
据腾讯智能安全技术安全专家介绍,目前捕获的GandCrab勒索病毒5.0版PayLoad使用PowerShell进行解码,最终注入PowerShell进程执行。
主要变化是加密文件扩展名的后缀是随机生成的,长度为5个英文字符。
同时,病毒完成加密后,还会修改用户的桌面壁纸,进一步提示用户勒索信息。
目前,GandCrab勒索软件5.0版本的赎金金额也有所增加,从之前的1美元变为1美元,增加了近一倍。
(图:受害者需用比特币或达世币支付美元才能购买解密工具)GandCrab勒索病毒作为2019年最活跃的勒索软件家族之一,自年初出现以来,已完成了5个大版本升级,使用无缝恶意广告。
它通过软件、水坑攻击、电子邮件传播、GrandSoft 漏洞利用工具包等多种方式进行传播。
同时,其变种更新速度快,平均每两个月完成一个变种,威胁用户的网络安全。
分析发现,在局域网内,勒索病毒GandCrab 5.0通过感染U盘、硬盘压缩文件、网页目录、爆破局域网内VNC端口、传播RDP弱密码等方式进行传播。
安全措施不足的企业内网将会受到影响。
例如,该病毒可以感染U盘和移动硬盘,并配置为自动播放模式传播。
当其他计算机插入受感染的U盘时,病毒程序就会自动运行。
硬盘Web目录被感染后,该目录下的EXE文件会被病毒程序覆盖。
如果将该目录发布到网站,下载该程序的计算机可能会被感染,并可能利用RigEK和FalloutEK漏洞工具包进行网页挂载攻击。
值得一提的是,与之前的版本一样,GandCrab 5.0勒索病毒在检测到系统为俄语版本或多个俄语国家时,会停止运行并自行删除。
目前,GandCrab勒索软件家族对企业和个人用户均构成严重威胁。
两者的区别在于,个人用户遇到勒索病毒后可以选择重装系统,但企业用户一旦“屈服”将损失惨重。
一些没有可靠备份系统的企业常常被勒索成功。
为了防止此类攻击再次发生,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松提醒广大企业网络管理员,建议修改管理后台默认页面路径、设置白名单,限制登录、更改弱密码、避免服务高权限运行;尝试关闭不必要的端口并将端口列入白名单;使用强密码,避免使用弱密码,并定期更改密码。
建议服务器密码使用强且不规则的密码,并且强制每个服务器使用不同的密码管理。
(图:企业级产品腾讯雨点)同时,马劲松建议终端和服务器部署专业的安全防护软件,比如在Web服务器上部署腾讯云等具备专业安全防护能力的云服务,全面提升能力企业网络抵御攻击威胁的能力。
,并在全网安装宇电终端安全管理系统。
宇电终端安全管理系统具有终端防病毒统一管控、漏洞修复统一管控、策略管控等全面的安全管理功能,可以帮助企业管理者全面了解和管理终端的安全状况。
企业内网,保护企业安全。