勒索病毒GandCrab 一直在不斷刷新人們的認知
GandCrab自年初首次出現後,在短短10個月的時間裡迅速叠代至5.0版本,而9月底開始出現的GandCrab 5.0更新及傳播速度則再創新高,平均每天至少兩個新樣本,明顯快于曆史版本。
而且,病毒作者的性情表現得更為明顯,在黑客論壇上向叙利亞受害者(其戰争中死去的兒子照片被GandCrab勒索病毒加密)簡單道歉,同時公布叙利亞地區之前版本(即5.0.3及以前的版本)的加密密鑰,然後再次更新勒索病毒版本5.0.4,且在新版本中把叙利亞添加到排除加密的區域列表中。
對中國用戶而言,感受更多的是GandCrab 5.0的殺傷力
自GandCrab 5.0出現以來,國内受害用戶特别是Windows服務器用戶顯著增加。僅十月份360企業安全安服應急響應中心就處理了近10起政企客戶中招GandCrab勒索病毒的安全事件。
從傳播方式上看,GandCrab仍以弱口令爆破、漏洞利用及僞裝成正常軟件誘導用戶下載等方式為主,中招之後,受害者硬盤内的圖片、文檔、視頻、壓縮包等文檔資料的後綴名會被改為5-9個随機字母,同時桌面壁紙被修改為勒索信息,并掏空你的比特币、達世币等電子貨币錢包。
幸好,被GandCrab 5.0加密的文件有一部分是可以解密的
在GandCrab作者公布加密私鑰後,Bitdefender率先發布了GandCrab V5.0.3及以下版本的解密工具,360公司在國内也第一個推出了免費解密工具。
被GandCrab之前版本勒索的用戶獲得了一份免費解藥,截至到目前已經有上百名用戶使用免費工具解密了之前被加密的數據。
但由于GandCrab V5.0.4及以上版本更換了新的密鑰,所以解密工具對新版本是無效的。
不過,你确定隻關心解藥,而不是如何避免中毒?
對于GandCrab的最新變種,360天擎均在第一時間已經支持攔截和查殺。
針對目前流行的GandCrab、GlobeImposter、Crysis等勒索病毒多通過系統漏洞和RDP遠程爆破後人工投毒,360天擎陸續推出了漏洞入侵防護和遠程登錄保護,以加固服務器對這些勒索病毒的防禦能力。
此外,通過360天擎EDR可對GandCrab樣本的惡意行為進行溯源追蹤,可追蹤到哪台終端什麼時間中招,中招後在終端上的詳細行為。
當然,事中防禦和事後補救,遠不及事前防禦更讓人來得心安。為了避免不必要的損失,建議您采取如下措施:
(1)針對服務器,不僅要安裝帶主動防護的殺毒軟件,還要部署安全加固軟件,阻斷黑客攻擊。
(2)關閉445、135、139等不必要的端口,不要在公網上直接暴露遠程桌面服務(RDP,默認監聽端口3389),如運維需要,确保隻能登錄VPN後才能訪問。
(3)及時修複系統漏洞,如果服務器上安裝了JBoss、Tomcat、Weblogic WLS等組件,還需及時更新至最新版本。不要輕易安裝來路不明的軟件,建議從官網或360軟件管家等正規渠道下載。
(4)使用高強度密碼并定期更換,禁止在多台服務器上使用相同密碼,防止黑客在爆破一台服務器後可輕易入侵同密碼的其他服務器。
(5)及時備份服務器上的核心數據到其他主機上,并對備份數據做好網絡隔離,防止備份數據被加密。
關于360服務器安全勒索病毒防護整體解決方案
360服務器安全勒索病毒防護整體解決方案集合服務器安全加固、殺毒和補丁管理等産品,形成組合方案,有效提高業務系統對抗黑客攻擊及勒索病毒的能力,有效檢測及攔截已知和未知安全威脅,全方位保障服務器操作系統、業務系統和數據内容的安全。
關于360終端安全勒索病毒防護解決方案
為了幫助政企客戶有效規避勒索病毒等新興安全威脅,360天擎新一代終端安全管理系統根據勒索病毒傳播的特點和造成危害的方式,并充分考慮到事前、事中、事後不同階段的不同安全需求,推出了切實有效的終端勒索病毒解決方案,并通過百萬敲詐先賠免除後顧之憂,讓政企單位能夠更加從容的面對日益猖獗的勒索病毒等安全威脅。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!