X
广告
首页 > 传媒 > 关键词  > 深信服最新资讯  > 正文

安全预警:GandCrab4.0勒索变种来袭

2018-08-31 17:19 · 稿源: 站长之家用户

近日,深信服安全团队发现GandCrab4. 0 活跃度提升,跟踪到多起GandCrab4. 0 变种勒索事件,现发布安全预警,提醒广大用户预防GandCrab4. 0 勒索。

GandCrab4. 0 变种采用RSA+AES加密算法,将系统中的大部分文档文件加密为.KRAB后缀的文件,然后对用户进行勒索。该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。

病毒名称:GandCrab4. 0 变种

病毒性质:勒索病毒

影响范围:大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家,近期开始在国内活跃

危害等级:高危

传播方式:邮件、漏洞、垃圾网站挂马等方式传播,不具备内网传播能力

病毒分析

病毒描述

GandCrab勒索病毒是 2018 年上半年传播范围最广、攻击频率最高的勒索病毒之一。该勒索家族于 2018 年 01 月被首次发现后,短短几个月的时间,就连续出现了V1.0,V2.0,V2.1,V3.0,V4. 0 等变种,非常活跃,目前此勒索病毒采用RSA+AES加密算法,无法被解密。

该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。

样本分析

该勒索病毒的场景流程图如下所示:

混淆加密&&内存解密:

样本经过多层封装与代码混淆,代码会经过几层解密操作,在内存中解密出勒索病毒Payload代码,最后进行内存拷贝,属性更改之后,跳转到相应的勒索Payload入口点执行勒索操作。

提升权限

进行自我提权,将病毒自身的进程权限提高,以更高权限执行任意操作。

杀进程:

该勒索软件进行遍历进程的操作,并结束相关的进程,相关的进程列表如下:

区域豁免:

该病毒对俄罗斯、乌兹别克斯坦、亚利桑那州等区域进行了保护,做了主机豁免的动作,通过查询操作系统安装的输入法和操作系统语言版本,确定是否豁免主机。

生成公钥:

利用程序中硬编码的数据,生成加密RSA的公钥public:

加密文件:

遍历主机文件目录,生成以.KRAB为后缀的加密文件,如下图所示:

删除卷影:

加密完成之后,通过ShellExecuteW函数调用wmic.exe程序,删除磁盘卷影。

最后,弹出勒索信息文件

解决方案

深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

https://edr.sangfor.com.cn/tool/SfabAntiBot.zip

2、深信服EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、GandCrab勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对 3389 等端口进行封堵,防止扩散!

7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、 11080016 规则,EDR开启防爆破功能可进行防御。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 深信服太衍大数据智能平台正式发布!

    10 月 21 日,深信服太衍大数据智能平台迎来正式发布。发布会上,我们解答了大家对深信服大数据最关心的六个问题。六问六答,带你读懂深信服太衍大数据平台。一问:深信服为什么要做大数据?总结起来便是,数据成为用户核心资产,多年实战积累已经让深信服大数据具备足够的实力为用户提供服务。目前数据已经成为用户数字化转型的核心要素之一,用户需要发挥数据的更大价值。而面对庞大的数据增量,当下用户普遍存在数据孤岛、数据?

  • 深信服圆满完成第十四届全运会安保指挥部网络安全保障工作

    2021 年 9 月 27 日,第十四届全国运动会于古城西安落幕。作为国内最大规模的综合性运动会,本届运动会锐意创新,让普通群众共同参与到比赛中,展现了全民全运、同心同行的盛况。在本届运动会中,西安市奥体中心作为主场地承担了举办开闭幕式及田径游泳等赛事的重任。在安保网络主管单位的统筹下,深信服独家完成了西安市奥体中心联合安保指挥部的网络安全保障工作,给第十四届全国运动会的顺利开展提供了坚实的网络安全基础。凭借

  • 第五届看雪安全开发者峰会 | 如何发现并阻断APT攻击?深信服蓝军与海莲花“交手”成功案例分享

    想象一下,有一个团伙,一直在监视你,你在明他在暗,他长期潜伏,收集关键情报,只为找准机会,对你发起“袭击”……害怕吗?在网络世界里,这种事情在默默上演,受害者可能是个人、可能是组织、可能是企业,而后果可能是“致命”的……怎么办?你只能一筹莫展?当然不是!10月23日,在第五届看雪安全开发者峰会(2021SDC)中,深信服蓝军高级威胁攻防研究员闫忠进行了主题为《多维度视角下APT挖掘实践》的分享,以追踪海莲花APT组织?

  • 2021天府杯 | 深信服瞬间攻克Windows项目,最新版本Win11系统也无可幸免

    10月16日至17日,2021(第四届)“天府杯”国际网络安全大赛暨天府国际网络安全高峰论坛在成都举行,其中,致力成为全球第一破解比赛的“天府杯”国际网络安全大赛,由于比赛质量,项目难度均属于国际顶级水平,因此其也成为国内外众多安全从业人员展现技术硬实力的关键赛场。今年,深信服蓝军安全研究团队(kkk)首次参战,仅用3秒便攻破全球知名计算机系统Windows项目,即使是它的最新版本Win11也无可幸免。2021天府杯 产品破解?

  • 你真的看懂深信服了嘛?

    2004 年,深信服发布了上网行为管理进入了安全赛道; 2013 年,深信服发布了桌面云自此迈入了云领域; 2021 年,深信服发布了“万物皆可云 一切皆服务”新战略…… 时代一直在变迁,从见字如面到万物互联,从信息化到数字化……“让每个用户的数字化更简单、更安全”,是深信服在这个时代下全新升级的使命愿景,但与此同时,深信服的使命愿景也不止于此…… 2008 年,北京奥运会向世界各国全方位展示中国的多彩魅力,同样在这一年,

  • 如何让用户触达更高效?华为AppGallery Connect短信服务上线

    在应用拉新、促活、留存、召回、转化等各个环节都需要进行用户触达。为了帮助开发者更高效、精准地触达目标用户,华为应用市场AppGallery Connect(简称AGC)面向企业开发者重磅推出“短信服务”。AGC短信服务覆盖中国大陆地区三大运营商,支持短信签名与短信模板,覆盖验证码短信、通知短信和会员营销短信三大典型应用场景。其中验证码短信可实现秒级触达,到达率高达99.9%,实发率100%。短信服务接入便捷,可在1 天内完成技术对?

  • 36氪“中国企服软件金榜”发布,企业微信服务商尘锋登榜

    9月2日,由36氪举办的WISE2021企业服务生态峰会正式闭幕。尘锋SCRM凭借其在营销增长领域的优异表现,成功入选“中国企服软件金榜”,成为活动现场备受关注的焦点。“中国企服软件金榜”是36氪为更好地服务中国企服赛道从业者和企业服务市场的重要举措。据了解,本次榜单聚焦中国最具创新价值及影响力的企业服务软件,涉及营销增长、人力资源、项目协作、财务管理等热门赛道。榜单主要围绕“用户满意度”与“市场表现”两项关键指标

  • 2021信服云创新峰会:托管云成上云第三种选择

    9 月 17 日,以“万物皆可云”为主题的信服云创新峰会成功举办。中国工程院院士、中国科学院计算技术研究所研究员倪光南,IDC咨询(北京)有限公司副总裁/首席分析师武连峰,深信服科技股份有限公司创始人、CEO何朝曦,中国信息通信研究院云计算与大数据研究所所长何宝宏,农业农村部信息中心通讯与网络处高级工程师/副处长吴疆,中华联合保险集团股份有限公司信息科技部总经理陈小虎,中交第一航务工程局有限公司信息化管理部总经理

  • 深信服到底是一家什么公司?

    有人说,深信服是一家做网络安全的老牌公司; 有人说,深信服是一家在云计算领域崭露头角的公司; 秉承“让IT更简单,更安全,更有价值”的企业使命,深信服耕耘了 20 余载。 20 余年里,深信服与用户并肩走来,一起见证了用户从信息化时代不断进入数字化时代。这一路也看见,IT部门将成为推动企业发展越来越重要的部分。 近期,深信服发布了最新的使命愿景——“让每个用户的数字化更简单、更安全”。深信服将继续在网络安全、云?

  • 企业微信服务商尘锋信息携手味动力,解锁餐饮行业增长密码

    在疫情的影响下,餐饮行业的“到店”模式不断被“到家”模式蚕食市场份额,餐饮行业数字化转型就此按下加速键,成为不可逆转的趋势。然而,餐饮行业普遍存在信息化基础薄弱、缺少数字化领域人才、缺乏资源整合能力等问题。这些问题是横亘餐饮行业和数字化之间的重要障碍,餐饮企业亟需借助有力工具突破障碍,寻求增长之道。山东味动力餐饮集团有限公司(以下简称:味动力)主营餐饮招商加盟服务。自成立以来发展迅速,业务不断壮大

这篇文章对你有价值吗?

  • 热门标签