首页 > 安全资讯 > 正文

勒索病毒GandCrab 一直在不断刷新人们的认知

  GandCrab自年初首次出现后,在短短10个月的时间里迅速迭代至5.0版本,而9月底开始出现的GandCrab 5.0更新及传播速度则再创新高,平均每天至少两个新样本,明显快于历史版本。而且,病毒作者的性情表现得更为明显,在黑客论坛上向叙利亚受害者(其战争中死去的儿子照片被GandCrab勒索病毒加密)简单道歉,同时公布叙利亚地区之前版本(即5.0.3及以前的版本)的加密密钥,然后再次更新勒索病毒版本5.0.4,且在新版本中把叙利亚添加到排除加密的区域列表中。

对中国用户而言,感受更多的是GandCrab 5.0的杀伤力

  自GandCrab 5.0出现以来,国内受害用户特别是Windows服务器用户显著增加。仅十月份360企业安全安服应急响应中心就处理了近10起政企客户中招GandCrab勒索病毒的安全事件。

从传播方式上看,GandCrab仍以弱口令爆破、漏洞利用及伪装成正常软件诱导用户下载等方式为主,中招之后,受害者硬盘内的图片、文档、视频、压缩包等文档资料的后缀名会被改为5-9个随机字母,同时桌面壁纸被修改为勒索信息,并掏空你的比特币、达世币等电子货币钱包。

幸好,被GandCrab 5.0加密的文件有一部分是可以解密的

  在GandCrab作者公布加密私钥后,Bitdefender率先发布了GandCrab V5.0.3及以下版本的解密工具,360公司在国内也第一个推出了免费解密工具。被GandCrab之前版本勒索的用户获得了一份免费解药,截至到目前已经有上百名用户使用免费工具解密了之前被加密的数据。

  但由于GandCrab V5.0.4及以上版本更换了新的密钥,所以解密工具对新版本是无效的。不过,你确定只关心解药,而不是如何避免中毒?对于GandCrab的最新变种,360天擎均在第一时间已经支持拦截和查杀。

  针对目前流行的GandCrab、GlobeImposter、Crysis等勒索病毒多通过系统漏洞和RDP远程爆破后人工投毒,360天擎陆续推出了漏洞入侵防护和远程登录保护,以加固服务器对这些勒索病毒的防御能力。

  此外,通过360天擎EDR可对GandCrab样本的恶意行为进行溯源追踪,可追踪到哪台终端什么时间中招,中招后在终端上的详细行为。

   当然,事中防御和事后补救,远不及事前防御更让人来得心安。为了避免不必要的损失,建议您采取如下措施

  (1)针对服务器,不仅要安装带主动防护的杀毒软件,还要部署安全加固软件,阻断黑客攻击。

  (2)关闭445、135、139等不必要的端口,不要在公网上直接暴露远程桌面服务(RDP,默认监听端口3389),如运维需要,确保只能登录VPN后才能访问。

  (3)及时修复系统漏洞,如果服务器上安装了JBoss、Tomcat、Weblogic WLS等组件,还需及时更新至最新版本。不要轻易安装来路不明的软件,建议从官网或360软件管家等正规渠道下载。

  (4)使用高强度密码并定期更换,禁止在多台服务器上使用相同密码,防止黑客在爆破一台服务器后可轻易入侵同密码的其他服务器。

   (5)及时备份服务器上的核心数据到其他主机上,并对备份数据做好网络隔离,防止备份数据被加密。

关于360服务器安全勒索病毒防护整体解决方案

   360服务器安全勒索病毒防护整体解决方案集合服务器安全加固、杀毒和补丁管理等产品,形成组合方案,有效提高业务系统对抗黑客攻击及勒索病毒的能力,有效检测及拦截已知和未知安全威胁,全方位保障服务器操作系统、业务系统和数据内容的安全。

关于360终端安全勒索病毒防护解决方案

   为了帮助政企客户有效规避勒索病毒等新兴安全威胁,360天擎新一代终端安全管理系统根据勒索病毒传播的特点和造成危害的方式,并充分考虑到事前、事中、事后不同阶段的不同安全需求,推出了切实有效的终端勒索病毒解决方案,并通过百万敲诈先赔免除后顾之忧,让政企单位能够更加从容的面对日益猖獗的勒索病毒等安全威胁。




360安全卫士

热点排行

用户
反馈
返回
顶部