近日,一款名為GandCrab V5.2的“俠盜病毒”肆虐而至,已攻擊了巴西、美國、印度、印度尼西亞和巴基斯坦等多個國家,大有再現2017年WannaCry病毒“昔日榮光”(攻擊全球150多個國家、造成總計超80億天價損失)的跡象。
截止目前,我國已有數千臺政府以及企業的電腦遭受到攻擊,而各大安全團隊目前還未找到破解之法。MailData 在此提醒大家,千萬做好相關防禦措施。
一、為何稱為“俠盜病毒”
這款GandCrab勒索病毒誕生於2018年1月,是一種新型的比特幣勒索病毒。自誕生後的幾個月裡,迅速成為一顆“新星”,“技術實力強”是該團隊的標簽之一。
而團隊的另外一個標簽——“俠盜”,則來源於2018年發生的“敘利亞金鑰”事件。
2018年10月16日,一位名叫Jameel的敘利亞父親在Twitter上發帖求助,說自己的電腦感染了GandCrab V5.0.3並遭到加密,由於無力支付高達600美元的“贖金”,他再也無法看到在戰爭中喪生的小兒子的照片。
GandCrab勒索病毒製作者看到後,隨即釋出了一條道歉宣告,稱其無意感染敘利亞使用者,並放出了部分敘利亞感染者的解密金鑰。GandCrab也隨之進行了V5.0.5更新,並將敘利亞以及其他戰亂地區加進感染區域的“白名單”。此外,如果GandCrab監測到電腦系統使用的是俄語系語言,也會停止入侵。安全專家據此猜測病毒作者疑為俄羅斯人。
此事一齣,不少人對GandCrab生出好感,稱呼其為“俠盜”。
“GandCrab頗有些武俠小說中俠盜的意味,盜亦有道,”一位匿名的安全人員說,“不過即使這樣,也不能說GandCrab的行為就是正當的,畢竟它對其他國家的人就沒有心慈手軟。”
二、攻擊強悍:我國已經成為重要攻擊標的
雖說GandCrab盜亦有道,但GrandCrab V 5.2版本所使用的語言,主要是中文、英文以及韓文,說明我國目前已經成為其重要的攻擊標的。
根據國家網路與資訊保安資訊通報中心監測,GandCrab V5.2自2019年3月11日開始在中國肆虐,目前已攻擊了上千臺政府、企業以及相關科研機構的電腦。
截止目前,湖北省宜昌市夷陵區政府、中國科學院金屬研究所、雲南師範大學以及大連市公安局等政府、企業、高校,均在其官網釋出了防範病毒攻擊的公告。
據網路安全分析師David Montenegro所說,GandCrab V5.2勒索病毒目前已經感染了數千臺中國電腦,接下來還將透過RDP和VNC擴充套件攻擊影響中國更多的電腦。
三、攻擊手段:垃圾郵件
據瞭解,GandCrab V5.2勒索病毒,目前主要是透過郵件形式攻擊。
攻擊者首先會向受害人郵箱傳送一封郵件,主題為“你必須在3月11日下午3點向警察局報到!”,發件人名為“Min,Gap Ryong”,郵件附件名為“03-11-19.rar”。
受害者一旦下載並開啟該附件,GandCrab V5.2會立刻對使用者主機硬碟資料進行全盤加密,並讓受害者訪問特定網址下載Tor瀏覽器,隨後透過Tor瀏覽器登入攻擊者的加密貨幣支付視窗,要求受害者繳納贖金。
目前DVP區塊鏈安全團隊猜測,除了垃圾郵件投放攻擊,GandCrab V5.2還有可能採用“網頁掛馬攻擊”,即除了在一些非法網站上投放木馬病毒,攻擊者還可能攻擊一些防護能力比較弱的正規網站,在取得網站控制權後攻擊登陸該網站的使用者。
另外,該病毒也有可能透過CVE-2019-7238(Nexus Repository Manager 3遠端程式碼執行漏洞)以及Weblogic等漏洞進行傳播。
但綜上所述,目前此勒索病毒的主要攻擊方式,仍是郵件為主。
四、不可破解:地表最強的勒索病毒?
今年2月19日,Bitdefender安全實驗室專家曾根據GandCrab自己給出的金鑰,研發出了GandCrab V5.1之前所有版本病毒的“解藥”。
然而,道高一尺,魔高一丈。根據ZDnet報道,今年2月18日,就在Bitdefender釋出最新版本破解器的前一天,GrandCrab釋出了正肆虐版本V5.2,該版本至今無法破解。
目前在暗網中,GrandCrab幕後團隊採用“勒索即服務”(“ransomware as-a-service” )的方式,向駭客大肆售賣V5.2版本病毒,即由GrandCrab團隊提供病毒,駭客在全球選擇標的進行攻擊勒索,攻擊成功後 GrandCrab團隊再從中抽取30%-40%的利潤。
“垃圾郵件製造者們,你們現在可以與網路專家進行合作,不要錯失獲取美好生活的門票,我們在等你。”是GrandCrab團隊在暗網中打出的“招商廣告”。
GandCrab是目前第一個勒索Dash幣的勒索病毒,後來才加了比特幣,要價499美元。據GandCrab團隊2018年12月公佈的資料,其總計收入比特幣以及Dash幣合計已高達285萬美元。
對此勒索病毒,有一些論壇上出現了宣稱可以破解 GandCrab V5.2的企業和個人。一家匿名的區塊鏈安全公司表示,這些基本都是騙子,是皮包公司,根本沒有能力對病毒進行破解。他們所宣稱可以破解GandCrab V5.2,其實是“代理”破解。
他們的破解條件是先付款,再破解,即他們收你的錢,幫你向勒索者支付加密貨幣,從而拿到解密金鑰(破解)。
五、防禦之法
面對攻擊者的來勢洶洶,宜昌市夷陵區政府給出了一些應對之策:
- 1. 不要開啟來歷不明的郵件附件;
- 2. 及時安裝主流防毒軟體,升級病毒庫,對相關係統進行全面掃描查殺;
- 3. Windows中禁用隨身碟的自動執行功能;
- 4. 及時升級作業系統安全補丁,升級Web、資料庫等服務程式,防止病毒利用漏洞傳播;
- 5. 對已感染主機或伺服器採取斷網措施,防止病毒擴散蔓延。
而對於郵件來往密集的企事業單位,MailData 建議儘快安裝郵件閘道器係統,以專業的病毒庫來進行防禦。因為對於目前暫時無法破解的病毒,還是從根源上杜絕它們的進入更為保險。