关于勒索病毒攻击的防范
发布人:xjzx  发布时间:2019-03-20   浏览次数:368

据悉,境外某黑客组织计划利用一种名为GANDCRAB的新型勒索病毒向我国实施攻击,教育机构网站是重点攻击对象。该病毒主要通过电子邮件的方式传播,一旦感染将对用户主机硬盘数据全盘加密,必须缴纳赎金才能解锁。下面梳理一下GandCrab病毒的前世今生,并且提供一些解决方法对付勒索病毒。

一、GandCrab初代

2018年年初国外网络安全专家发现了一种新型的勒索病毒,在虚拟货币盛行的今天,网络勒索病毒层出不穷,GandCrab在众多病毒中“脱颖而出”引起各界关注。有趣的是,这种病毒之所以引人注目有很大一部分原因是因为它的赎金。不同于其他勒索病毒提出的比特币,门罗币等赎金要求,GandCrab非常有个性地要求受害者以达世币作为赎金来解救已被加密的文件。

有分析人士称病毒开发者的此种做法很有可能是基于达世币本身的隐匿性。达世币是一种支持即时交易、以保护用户隐私为目的数字货币。它基于比特币,但更具匿名性,使得交易无法被追踪查询。没想到此币种的优点竟成为了病毒制造者利用的弱点,这种性质让安全专家也觉得很头疼。

初代的Gandcrab以挂马病毒的方式隐藏在网页中,用户点击后就有可能中招。Gandcrab加密电脑中的文件后会在文件名后加上.GDCB后缀,并向受害者索要1.54达世币作为赎金(病毒爆发时约为1200美刀)。右图为GandCrab赎金勒索界面

GandCrab病毒第一次爆发后,国内的疫情比较严重,被黑页面涉及景区、交通等社会服务网点,影响极广。幸运的是,国内的360安全团队针对此种病毒及时地进行了解密并且提供了解决方案,使得疫情尽快得到了控制。

二、GandCrab V2.0 病毒二代目

在第一代GandCrab病毒爆发被解决后不久,国内又爆发了第二次GandCrab V2.0病毒。这次它的伪装手段从挂马变成了字体更新程序。当你打开一个邮件或是一个网页的时候,发现所有的文字都是乱码,这时候,一个窗口提醒你下载字体更新程序,你会不会毫不犹豫就下载了?甚至会以为安全软件弹出的警告是误报?如果是,那么恭喜你要中招了。很多无辜的人都上了病毒制造者的当,成了病毒的祭品。

病毒二代目除了伪装手段不同还改变了被锁文件的后缀。中了GandCrab V2.0病毒后用户的文件会被加上.CRAB的后缀。这次的病毒仍然向受害者索要达世币作为赎金,如果不想被病毒制造者吸血的话,最靠谱的办法还是提前安装安全软件,并且相信安全软件的安全提醒。

三、GandCrab V2.1 病毒三代目

消停了没多久,GandCrab就又变着法的卷土重来了。今年四月国外安全研究人员再次发现了GandCrab勒索病毒的最新变种,并且命名其为GandCrab V2.1

研究人员发现此次的病毒变种利用了RSA1024加密算法,将系统中的大部分文档文件加密为.GRAB后缀的文件,然后对用户进行勒索。这个再次变种后的勒索病毒主要通过邮件、漏洞、垃圾网站挂马等方式进行传播,但好在其不具备横向感染的能力,不会对同一个局域网内的其他设备进行攻击。

可能是GanCrab的病毒制造者发现只通过达世币这种相对小众的币种不足以赚到足够多的钱,这次的勒索病毒开始接受比特币和达世币作为赎金。有图为GandCrab V2.1赎金勒索界面

四、GandCrab V3病毒四代目

一波未平一波又起,GandCrab V3病毒又来了。虽然名字叫GandCrab V3,但这已经是GandCrab病毒的第四次变种了。经历了前三次后病毒制造者这次选择利用CVE-2017-8570漏洞来传播病毒。同时,本次病毒跟上了“韩流”,漏洞触发后会显示“”(韩语”你好”)的文字内容来诱导受害者。

这次的病毒学得更聪明了,不仅没有规定受害者交赎金的币种,还要求受害者通过Tor网络或者Jabber即时通讯软件与其取得联系,进而沟通勒索条件。这种方法加大了受害者交赎金的几率也加大了追查的难度。

如今威胁最大的是病毒制造者有了商业头脑,国内已经出现了勒索病毒的产业链,有人开始在网络上传播勒索病毒生成器。这种行为很有可能导致病毒的大规模爆发。右图为网上流传的勒索病毒生成器。

五、怎么对付勒索病毒

1、所谓好奇害死猫,请千万不要对陌生的网站,广告,邮件等等产生过于旺盛的好奇心,这些很有可能是犯罪分子设下的陷阱,就等着你的点击;

2、不要对安全软件给出的安全提示置之不理,有些时候病毒会隐藏在正常的文件中,千万别上当;

3、及时升级操作系统安全补丁,升级服务程序,使用正版软件;

4、在Windows中禁用U盘的自动运行功能;

5、临时关闭所有终端和服务器的3389端口;

6、安装主流杀毒软件,升级病毒库,对相关系统进行全面扫描查杀。