X
广告
首页 > 传媒 > 关键词  > GandCrab最新资讯  > 正文

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

2019-04-25 16:14 · 稿源: 厂商

近日,瑞星安全专家捕获到最新勒索病毒GandCrab 5. 3 变种,此版本延续了5. 2 版本的主要技术,用户一旦中毒文件将无法打开,同时桌面背景图片会被修改为勒索信息,需要交纳赎金才可解密。而此次5. 3 版本与之前最大的不同之处在于,攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金,这极有可能是为了躲避警方的追查。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:勒索信息支付赎金方式改为邮件

瑞星安全专家分析攻击者此次修改的原因有两种可能,第一种是部分受害者不知道如何访问病毒作者留下的暗网地址,所以无法与病毒作者取得联系,导致无法缴纳赎金;另一种情况是GandCrab 5. 2 之前版本的解密密钥托管在暗网服务器中,被欧洲多国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是躲避追查。

瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。目前,瑞星所有个人及企业级产品均可对GandCrab 5. 3 勒索病毒进行查杀,瑞星之剑可以有效拦截该勒索病毒。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:瑞星ESM与瑞星之剑拦截查杀截图

技术分析

勒索病毒GandCrab 5. 3 运行后获取当前计算机语言,与病毒内置语言列表中的语言进行对比,如果本机语言在列表中则退出,不执行加密操作。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:判断计算机语言

病毒会结束指定进程,防止文件被占用无法加密,主要是针对数据库和办公软件的进程。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:查找指定进程

解密出RSA公钥,此公钥和之前捕获的V5. 2 版本的公钥相同。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:解密出RSA公钥

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息,追加上勒索版本V5.3。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:获取的本机信息

使用RC4 算法将获取到的本机信息加密,发送给控制服务器用于统计感染量。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:加密后的本机信息

在做好准备工作之后,病毒会创建线程开始加密文件。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:创建线程加密

遍历磁盘中的文件。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:遍历文件

加密时排除一些文件和文件夹,防止系统无法正常运行。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:排除指定文件

文件的内容被Salsa20 算法加密,文件名被追加上随机后缀。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:被加密文件

删除系统自带的卷影备份。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:删除卷影备份

修改桌面背景图片,显示勒索信息。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:修改桌面背景

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:修改后的桌面背景

加密完成后退出,并调用cmd删除自身文件。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

图:删除自身文件

防范措施:

1、不打开陌生或可疑邮件,不下载邮件附件。

2、浏览网页时不下载运行可疑程序。

3、及时更新系统、漏洞补丁。

4、不使用弱口令密码。

5、多台机器不使用相同密码。

6、安装杀毒软件及时更新病毒库。

7、安装防勒索软件,防止未知病毒变种加密文件。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • AV-Comparatives公布Windows 11反病毒软件兼容性列表

    尽管对于大多数 Windows 用户来说,系统自带的 Microsoft Defender 安全软件已经足够应付日常使用。但随着 Windows 11 即将于 10 月 5 日正式发布,独立安全测试实验室 AV-Comparatives(简称 AVC)检查并发布了适用于 Windows 11 的消费级反病毒软件名单。(图 via Techdows)作为微软打造的最新一代桌面操作系统,Windows 11 引入了居中放置的“开始”菜单、任务栏、靓丽的现代 UI + Mica 设计元素、情境(上下文)菜单,且文件?

  • 2021款MacBook Pro的140W适配器是苹果的首款GaN充电器

    苹果已经确认,新款16英寸MacBook Pro(2021)包装内附带的新款140W充电器采用氮化镓技术并支持 USB-C PD3.1,这也是苹果首款氮化镓(GaN)充电器。

  • 快手搜索发布首支品牌TVC,并公布首个品牌Slogan

    9月27日,快手搜索发布首支品牌TVC,并公布首个品牌Slogan——用生活回答每一种生活。此外,快手搜索还公布了最新的数据。

  • 美国政府发布联合警告:BlackMatter勒索软件正对美国基础设施发起攻击

    在本周一发布的政府公告中,表示 BlackMatter 勒索软件攻击者正在攻击美国的关键基础设施,包括食品和农业组织,并要求支付高昂的赎金。这份公告由国土安全部网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(NSA)联合发出,该勒索软件最早于今年 7 月被发现。在该勒索软件对美国水资源和污水处理设施发出攻击之后,美国政府机构发布这条紧急警告。CISA 网络安全执行助理主任埃里克·戈德斯坦(Eric Goldstein?

  • 快手搜索发布品牌Slogan 日均搜索数破3亿

    快手搜索发布品牌Slogan“用生活回答每一种生活”、首支品牌TVC,以及最新数据。截止8月,快手搜索日均搜索次数超过3亿。在电商搜索领域,近2个月,快手电商相关搜索量突增,环比提升31%。

  • 勒索软件暗藏后门 租用REvil服务或被“黑吃黑”

    REvil 是近年来最臭名昭著的勒索软件攻击团伙之一,此前已宣布对多起重大事件负责。与此同时,该组织还提供了“勒索软件即服务”,以通过租赁的方式、从其它恶意攻击者那里抽成。然而 Flashpoint 安全研究人员在对地下论坛展开一番分析后发现,REvil 还在恶意软件中植入了后门,最终或上演“黑吃黑”的剧情。(来自:Flashpoint)某位论坛用户对 REvil 的“市场策略”表示质疑,称其向受害者勒索 700 万美元的计划戛然而止,推测某

  • FinCEN:价值52亿美元的比特币交易与勒索软件有关

    美国财政部金融犯罪执法网络(FinCEN)发布的一份报告指出,2021 上半年发生的与勒索软件相关的交易,已经达到了 5.9 亿美元。作为参考,2020 年的报告数字为 4.16 亿美元。其中每月的交易金额为 6640 万美元,中位数则是 4500 万美元。与此同时,FinCEN 也将比特币(BTC)确定为卷入勒索软件的最常见加密货币。(来自:FinCEN | PDF)由于野蛮生长的市场技术难受监管,BTC 正越来越成为用于洗钱目的的一个有吸引力的选择。以勒索?

  • 快手搜索发布首个品牌Slogan,日均搜索次数破3亿有何秘籍

    9 月27 日,快手搜索发布品牌Slogan“用生活回答每一种生活”、首支品牌TVC,以及最新数据。截止8 月,快手搜索日均搜索次数超过3 亿。在电商搜索领域,近2 个月,快手电商相关搜索量突增,环比提升31%。在商业化领域,4 月至9 月,快手搜索广告日均消耗增长260%,广告日均覆盖搜索占比增长150%,规模和收入呈翻倍式飞速增长。据悉,快手搜索“用生活回答每一种生活”传递出的核心理念为,快手搜索以生活化的内容作为连接,关注每?

  • McAfee:REvil组织占2021年2季度勒索软件攻击大头

    在 2021 年 10 月发布的最新一期《高级威胁研究报告》中,McAfee 慷慨分享了与勒索软件攻击有关的鲜活数字。在检测数量方面,挤进榜单前十的包括 RansomeXX、Ryuk、Netwalker、Thanos、MountLocker、WastedLocker、Exorcist、Conti、Mazi,以及高居榜首的 REvil 。(来自:McAfee 官网)在刚刚过去的夏季,被 REvil 攻击的 IT 管理平台 Kaseya 引发了极大的行业震动,导致许多其它企业纷纷躺枪,受害者们被勒索支付 7000 万美元的?

  • 开一个微信公众号,对老母亲“以毒攻毒

    一次激烈的争吵后,福福和妈妈又闹掰了。这一回,是因为福福的妹妹。2020年因为疫情形势严峻,妹妹的学校采取了网课教学的方式。一直名列前茅的她,成绩就像坐了滑梯一样,直接滑到了班级倒数十名。

这篇文章对你有价值吗?

  • 热门标签