首页 > 传媒 > 关键词 > 深信服最新资讯 > 正文

安全预警:GandCrab4.0勒索变种来袭

2018-08-31 17:19 · 稿源:站长之家用户投稿

近日,深信服安全团队发现GandCrab4. 0 活跃度提升,跟踪到多起GandCrab4. 0 变种勒索事件,现发布安全预警,提醒广大用户预防GandCrab4. 0 勒索。

GandCrab4. 0 变种采用RSA+AES加密算法,将系统中的大部分文档文件加密为.KRAB后缀的文件,然后对用户进行勒索。该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。

病毒名称:GandCrab4. 0 变种

病毒性质:勒索病毒

影响范围:大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家,近期开始在国内活跃

危害等级:高危

传播方式:邮件、漏洞、垃圾网站挂马等方式传播,不具备内网传播能力

病毒分析

病毒描述

GandCrab勒索病毒是 2018 年上半年传播范围最广、攻击频率最高的勒索病毒之一。该勒索家族于 2018 年 01 月被首次发现后,短短几个月的时间,就连续出现了V1.0,V2.0,V2.1,V3.0,V4. 0 等变种,非常活跃,目前此勒索病毒采用RSA+AES加密算法,无法被解密。

该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。

样本分析

该勒索病毒的场景流程图如下所示:

混淆加密&&内存解密:

样本经过多层封装与代码混淆,代码会经过几层解密操作,在内存中解密出勒索病毒Payload代码,最后进行内存拷贝,属性更改之后,跳转到相应的勒索Payload入口点执行勒索操作。

提升权限

进行自我提权,将病毒自身的进程权限提高,以更高权限执行任意操作。

杀进程:

该勒索软件进行遍历进程的操作,并结束相关的进程,相关的进程列表如下:

区域豁免:

该病毒对俄罗斯、乌兹别克斯坦、亚利桑那州等区域进行了保护,做了主机豁免的动作,通过查询操作系统安装的输入法和操作系统语言版本,确定是否豁免主机。

生成公钥:

利用程序中硬编码的数据,生成加密RSA的公钥public:

加密文件:

遍历主机文件目录,生成以.KRAB为后缀的加密文件,如下图所示:

删除卷影:

加密完成之后,通过ShellExecuteW函数调用wmic.exe程序,删除磁盘卷影。

最后,弹出勒索信息文件

解决方案

深信服提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。

病毒检测查杀

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

2、深信服EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。

病毒防御

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

6、GandCrab勒索软件之前的变种会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对 3389 等端口进行封堵,防止扩散!

7、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、 11080016 规则,EDR开启防爆破功能可进行防御。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 深信服与徐州市铜山区水务局深度合作,携手推进“智慧水利”新征程

    2020年6月23日,深信服与江苏省徐州市铜山区水务局(以下简称“铜山水务局”)在徐州市正式举行了“‘智慧水利’深度合作基地揭牌暨样板合作”签约仪式,此次合作对于提高铜山智慧水利信息化水平、推动智慧水利高质量发展、改善民生服务水平等方面都具有深远意义,是推动铜山智慧水利建设发展的关键举措。徐州市铜山区水务局领导,以及深信服江苏区副总经理张冠群,江苏区总监肖浩及双方相关工作人员出席了本次签约仪式。▲“智慧水利”?

  • 币安赵长鹏一直对自己所做的行业深信不疑

    在区块链这个高速发展的行业,无论作为从业者还是关注者,我们已经不能用普通的商业思维来衡量,只有创新大胆的思维,才能跟上高速奔跑的动车。就像从普通码农蜕变成亿万富翁赵长鹏只用了 180 天,他还与币安并肩,带领币安从 1 到 10 亿超高速的实现闪电式扩张。赵长鹏与币安并肩,超高速实现闪电式扩张赵长鹏 6 个月达到 120 亿身价,他带领的币安货币交易平台在推出 42 天后达到了交易量排名前 10 位, 92 天后达到前5, 156 天

  • 深信服EDS存储携手Intel,以技术手段“提性能、降成本”

    在存储的世界中,「高性能」与「低成本」似乎是一个“鱼与熊掌不可兼得”的命题。现在,伴随着深信服EDS联合Intel SPDK,二者不可兼得的时代或将终结。作为Intel在中国的SPDK合作伙伴之一,深信服企业级分布式存储EDS使用Intel SPDK为编程框架,设计了全新的存储引擎,合力将“高性能、低成本”的理想照进现实。这次合作中,深信服EDS基于SPDK开发套件设计的存储引擎,不仅充分发挥出Intel硬件的性能,还构筑起高性能、低成本的存储架构,这?

  • 深信服发布全新解决方案助力教育信息化2.0

    以教育信息化支撑引领教育现代化是我国教育发展的重要战略。当前教育信息化2. 0 处于攻坚阶段,教育城域网正成为支撑基础教育信息化发展最重要的基础设施。 6 月 13 日,深信服科技股份有限公司(以下简称“深信服”)发布了“四维立体教育城域网解决方案”,旨在从优化业务体验、构建高速网络、简化运维管理、满足安全合规四大维度全面助力教育城域网的构建。四维立体教育城域网解决方案以“两横两纵”互相支撑为理念基础,为教育

  • 匠心打造安全效果,深信服多款安全产品市场占有率第一

    据权威咨询机构国际数据公司(IDC)发布的《 2020 年第一季度中国IT安全硬件市场跟踪报告》显示, 2020 年第一季度中国IT安全硬件市场厂商整体收入约为4. 14 亿美元。深信服 2020 年第一季度持续领跑多个细分领域:全网行为管理在安全内容管理市场领域以14.1%的市场份额排名第一;SSL VPN在虚拟专用网市场领域以18.3%的市场份额排名第一;下一代防火墙单款产品市场份额持续增长,在统一威胁管理市场领域以15.2%的市场份额排名第一?

  • 深信服桌面云强势夺得No.1

    近日,知名第三方咨询机构IDC发布了中国VDI客户终端市场报告。受疫情影响,多家VDI厂商在一季度出现大比例下滑。但值得注意的是,深信服在VDI市场却实现了逆势增长,出货量排名第一,市场占有率高达31.49%,超过第2- 7 名总和。数据来源:IDC《中国VDI客户终端市场追踪报告,2020Q1》如果说疫情给VDI市场带来了诸多挑战,那么在大多数VDI厂商都出现较大下滑的情况下,为什么只有深信服做到了逆势飞扬?深信服31.49%市场份额背后的秘?

  • 深信服助力广西医科大学构建新一代云数据中心

    学校有一座云化数据中心是一种怎样的体验?“最近选课系统不像以前那样卡顿了,学校图书馆资源、教学资源、一卡通系统都可以在学校网站统一查询,只需进入一个网站就能在PC端或移动端查询全部信息,缴费也不用去排队,轻松了很多。”来自广西医科大学,刚刚完成选课的学生李明这样说道。“我觉得信息化方便了师生教学,在深化原有教学范式改革的基础上,使更多混合教学模式成为可能,疫情也让线上教学广泛应用起来。”广西医科大学的张老师?

  • 智慧法院时代,深信服企业级分布式存储EDS为何脱颖而出?

    伴随着《人民法院信息化建设五年发展规划》的制定发布,我国智慧法院建设驶入快车道。在此背景下,法院数据呈爆炸式增长,且有多种来源多种格式的数据类型并存,其中既包含法院内部虚拟化平台、数据库产生的结构化数据,也包含科技法庭高清视频监控、电子卷宗深度应用等产生的非结构化数据。此外,法院的数据还必须长期保存,以备后期随时追溯。智慧法院数据激增,向传统存储阵列发起挑战以国内某省高级法院为例,既有的非结构化数据已达600

  • 2019年VDI客户端榜单出炉!深信服桌面云持续保持快速增长

    VDI客户端市场占有率达25.24% 份额进一步提升,直逼第一 大企业、金融行业不断取得突破近日,最新发布的《IDC 2019年中国VDI客户端市场跟踪报告》(以下简称《报告》)显示,2019年全年中国VDI客户端市场总出货量增至100.7万台,同比增长2.9%。其中,VDI客户端设备仅包含ARM架构搭载Android操作系统的设备。深信服持续保持逐年快速增长的态势,2019年VDI客户端出货量为25.4万台,以25.24%的市场份额蝉联第二,并与第一市场份额仅?

  • 快牙集成HMS Core近距离通信服务,实现零流量快速传输大文件

    大文件传输现在已经是人们的必备操作,加上5G时代的到来,人们对流量资费和传输速度有了更高的要求。HMS Core的近距离通信服务(HUAWEI Nearby Service)使用了华为自研的数据传输协议,使得节点发现速度和网络传输带宽均大幅度优于业界既有方案。可以帮助用户解决“没有Wi-Fi,流量又告急”的困境,实现“零流量”大文件传输。作为流行的文件传输APP之一,快牙在全球的下载安装量超过6亿。快牙APP通过接入HMS Core集成华为近距离?

  • 深信服牵手巨头Mellanox 合力突破存储时延瓶颈

    深信服企业级分布式存储EDS与全球领先的端到端以太网和InfiniBand智能互联解决方案巨头Mellanox Technologies强强联合,携手加速以太存储矩阵(ESF - Ethernet Storage Fabric)和RDMA(远程直接内存访问)技术在分布式存储系统中的应用,实现对比传统FC网络延迟降低20%,性能提升 5 倍。(※数据来源于深信服EDS研发团队测试结果) 数据处理唯快不破,网络时延却成拦路虎数字时代,对数据的处理速度提出了更高要求。数据中心的任何一环?

  • Win7停服风险徒增,深信服专家支招用户有效应对

    微软于 2020 年 1 月 14 日正式停止Windows7 操作系统(以下简称Win7)的更新,给国内用户造成了不小的影响。据统计,截至 2020 年 2 月底,Win7 在国内市场占有率高达52.4%。Win7 停止更新也意味着这52.4%的用户已经失去了官方的保护。微软官网中写到:“虽然用户仍可以继续使用运行 Windows 7 的电脑,但如果没有持续软件和安全更新,电脑遭受病毒和恶意软件攻击的风险会更大。”Win7 停服究竟会带来哪些安全风险?1、安全策略不再更

  • 深信服等级保护建设方案,助力生态环境信息化建设

    “污染防治攻坚战”是全面建成小康社会的三大攻坚战之一。将现代网络技术与污染防治技术相结合,以信息化手段提升生态环境水平,现已成为当下环境保护行业发展的重要方向。“没有网络安全就没有国家安全,没有信息化就没有现代化”,信息化不仅是打赢污染防治攻坚战的“利器”,还对提升生态环境部门的履职能力,推动全社会的生态文明建设起着至关重要的作用,保障信息化建设过程的网络安全,更是成为了建立生态环境信息化的关键举

  • 深信服发布《2019年网络安全态势报告》:模式转变,勒索软件展现新威胁

    勒索软件是劫持数据以索求赎金的一类恶意软件,近年来已经成为最危险的网络安全威胁之一。勒索病毒虽然已经不是新鲜事,但据深信服于近日发布的《 2019 年网络安全态势报告》(以下简称“报告”)显示, 2019 年勒索病毒攻击展现出了新的威胁。报告显示,勒索软件整体攻击次数减少,但勒索软件目标从普通用户转向政企机构,高发勒索家族威胁持续进阶,且衍生出了不交赎金即公开数据的新威胁模式,政企用户防范难度加大,威胁进一步加

  • 深信服《2019年网络安全态势报告》发布,网站攻击量半年超半数增长

    近日,深信服《 2019 年网络安全态势报告》(以下简称“报告”)正式发布,报告从恶意软件、网站安全、漏洞、APT攻击等方面分析整体网络安全态势情况。报告显示,不同于 2019 年网络安全态势整体平稳的情况,网站安全呈现了愈加严峻的发展态势,网站安全防控或需引起行业及政企事业单位的重点关注。报告显示, 2019 年间网站攻击尝试量呈总体波动上升且快速增长趋势,仅下半年,网站攻击量增长率已高达59%,攻击类型也呈现了多样化分

  • 美国机构要求FCC撤销中国电信美国分公司营业许可,禁止其在美的通信服务

    4月10日据观察者网报道,美国多个机构向联邦通信委员会(FCC)提出要求,敦促其撤销对中国电信美国分公司的授权,禁止其在美国的国际通信服务。中国电信表示:“我们一直遵循最高的国际标准提供运营和服务,我们将提供更多细节以支持我们的立场,并致力于解决问题。”

  • 深信服安全态势感知解决方案,助力水利行业“补短板、强监管”

    2019年1月,全国水利工作会议确定了 “水利工程补短板,水利行业强监管”的水利改革发展总基调,并强调网络安全与信息化工作是水利行业四大短板之一,没有强大的信息系统无法实现“强监管”。深信服作为专注于企业级安全、云计算和基础架构的产品和服务供应商,凭借多年的行业领域经验,深入研究水利行业网络安全及监管需求,为包括水利部、七大流域水利委员会、各省水利厅、市水务局、水科院在内的各级水利行业用户,提供全面、融

  • 直播破万!深信服云战略再升级,三大新品剑指新征程

    3 月 27 日, 2020 年深信服云计算战略升级暨新品线上发布会圆满落幕。据实时数据显示,此次发布会吸引了10000+观众在线观看,直播总量超2.43万人次。本次发布会邀请了中国信息通信研究院云计算与大数据研究所所长何宝宏博士作开篇演讲,他表示:在“新基建”形势下,云计算产业链从单点突破演进到整体效能提升,用户更关注场景化能力的提升和方案。数字化转型将进一步加快信息技术的融合效应,更多应用部署将在云端,用户对数据中?

  • 深信服桌面云双网隔离方案率先通过公安三所安全合规认证

    双网隔离方案是深信服桌面云推出的创新解决方案,重点服务有内外网等多张网络需要安全物理隔离的场景,如政府行业政务外网和互联网,包括检察工作网和互联网、税务专网和互联网等,以及研发型企业软件开发内外网安全物理隔离等,满足多网用户对办公接入访问的高安全性需求。双网一键快速切换深信服双网隔离解决方案,主要由桌面云双网隔离云终端和两套桌面云服务器集群(含虚拟桌面控制器VDC)组成,两套桌面云服务器分别连接双网隔?

  • 揭示年度新威胁,深信服发布《2019年网络安全态势报告》

    2019年,频繁的信息泄露、网络攻击事件,以及等保2.0国家标准等网络安全政策法规的发布,都使得网络安全在全国范围内获得相比往年更高的关注度。那么,在这一年里,中国的网络安全现状究竟如何?深信服千里目安全实验室从恶意软件、网站安全、漏洞、APT攻击等方面分析整体网络安全态势情况,发布《2019年网络安全态势报告》(以下简称报告)。知己知彼,方能百战不殆。本文摘取自报告关键内容,为您直观呈现2019年网络安全态势,与您共同关注20

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签