pony,唯美的句子,寒战

体育世界 · 2019-03-18

前言

2018年是一个勒索病毒高发的年度,可谓百(can)花(bu)争(ren)艳(du),勒索家族变种、传播方式层出不穷,所谓你方唱罢我登台,直接把CHINA当作了屠宰邓亚萍如何评价何智丽场,年初宰到了年尾,明年估计形势会更不乐观。但大家是否会好奇,勒索病毒这么多,到底哪一家“强”呢?

一、谁是勒索界当之无愧的海王?

深信服EDR安全团队,综合了2018年一整年的数据(感染案例,实际数据会更多),得出这位最终的勒索届年度海王为:GandCrab勒索病毒,中文外号咸水国巨蟹。下图,是这只巨蟹横行过的区域,包括新疆、广东、安徽、青海、江西、福建、浙江、山西、吉林、贵州、天津、北京、上疲组词海、河北、山东、辽宁、江苏、四川等,基本覆盖大半个中国,以东部沿海最为严重。



Gand青林歪弹Crab勒索病毒是2018年勒索病毒家族中最活跃的家族,该勒索病毒首次出现于2018年1月,在将近一年的时候内,经历了五个大版本的更新迭代,此勒索病毒的传播感染方式多种多样,使用的技术也不断升级,勒索病毒采用高强度加密算法,导致加密后的文件,大部分无法解密。明朝拜金女



深信服EDR安全团队,跟踪分析此勒索病毒将近一年的时间内,发现该勒索病毒主要的传播方式,如下:

(1) RDP爆破

(2) 发送垃圾邮件,附加恶意链接或邮件附件,通过Word宏等加载PowerShell下载

(3) 感染相关网站,下载捆绑有恶意程序的更新程序或正常软件

(4) 利用RigEK、GrandSoft、FalloutExploit等漏洞利用工具包,通过无文件方式PowerShell、JS、VBS等脚本释放加载

(5) 通过恶意下载器下载勒索病毒

(6) 通过U盘感染

二、海王的继承人和新生儿

同时是海王又是蟹王的GandCrab,可谓子孙繁多,其中GandCrab5.0.4最为勇猛,喜欢横行霸道,绝大多数“城堡”都是这位王子打下的,已经成为GandCrab勒索家族的事实上的代表和继承人。

近日,GandCrab这只巨蟹又生了一个娃,叫GandCrab5.0.9,他的上个哥哥是GandCrab5.0.5,上上个哥哥是GandCrab5.0.4,上上上个哥哥是GandCrab5.0.3。

深信服EDR安全团队,作为国内第一家发现并“吃蟹”的团队,始终在第一时间进行了深入报道,参考如下:



下面,重点介绍下新生儿GandCrab5.0.9:病毒在运行之后,会弹出对话框,如下所示:



加密锦程网学生登录文件之后,桌面显示,如下所示:



加密后的文件,是随机10个字母的后缀名,如下所示:



相应的勒索信息,如下所示:



TOR勒索站点的信息,如下所示:



可以看到TOR勒索站点作者在金刚之子右侧还提供了一个聊天窗体,可以跟黑客进行聊天通信。

通过分析发现它与之前的GandCrab5.0.5基本无差异,如下所示:



入口函数,对比如下:



主功能函数,对比如下:



主功能函数代码段中,GandCrab5.0.5第一个功能函数是空的,如下所示:



在GandCrab5.0.9版本中,作者编写了弹框信息代码,如下所示:



弹出对话框,如下所示:



点击确认之后,执行后面的加密勒索流程,与之前的GandCrab5.0.5的流程一样,如下所示:



同时相应的版本号也发生了变化,对比如下:



此勒索病毒的作者在发布GandCrab5.0.9之后弹出了一个对话框,提示“他们”会很快回来的……

三、海王的家族变异史和传播方式

深信服EDR安全团队一直在研究跟进此勒索病毒,通过跟踪发现此勒索病毒,从2018年1月,在一年的时候内主要经历了五次大的版卢旗英本变种,如下所示:

版本V1V2V3V4V5我们爱讲冷笑话壁纸首次发现时间床上照片2018年1月2018年3月2018年5月2018年7月2018年9月传播特征Seamless恶意

广告软件和RIG

GrandSoft漏洞利用工具包邮件传播邮件恶意洋娃娃王妃附件、WORD宏加载VBS脚床上姿势本、利用CVE漏洞等邮件恶意附件、垃圾网站挂马、利用CVE漏洞等邮件恶意附件、垃圾网站挂马、PowerShell、VBS、JS脚本等勒索货币达世币达世币未知使用TOR支付站点使用TOR支付站点加密后缀GDCBCR蒙眼射苹果ABCRABKRAB随机字符串

其中各大的版本之间又出现过些小的版本更新,比如V2.1版本,V4.3版等,特别是V5版之后,连续出现多个小版本的迭代,这些小版本的功能代码基本类似,例如V5.0.1、V5.0.2、V5.0.3、V5.0.哈幼专4、V5.0.5,以及这次出现最新版本V5.0.9,可以相信未来黑客还会变种……

勒索界海王的主要的传播方式,如下:

(1) RDP爆破

(2) 发送垃圾邮件,附加恶意链接或邮件附件,通过Word宏等加载PowerShell下载

(3) 感染相关网站,下载捆绑有恶意程序的更新程序或正常软件

(4) 利用RigEK、GrandSoft、FalloutExploit等漏洞利用工具包,通过无文件方式PowerShell、JS、VBS等脚本释放加载

(5) 通过恶意下载器下载勒索病毒

(6) 通过U盘感染

但最为经典,使用面最广的,也是最为简单粗暴的,是RDP爆破,其经典传播模型:



1、RDP爆破入侵

黑客首先RDP爆破其中一台主机,成功获取到自休下堂妇该主机的控制权后,上传黑客一整套工具,包括:进程管理工具、内网扫描工具、密码抓取工具、暴力破解工具以及勒索病毒体。由于其中某些工具容易被杀软查杀,因此黑客对其进行了加密压缩处理,压缩密码为“123”。



2、结束杀软进程

上传完工具后,黑客就开始“干活”了。首先是要解决掉杀毒软件,用进程管理工具“Pro嗯快cessHacker”结束杀软进程。

3、内网扫描

然后,黑客试图“扩大战果”,控制更多的内网主机。使用内网扫描工具“KPortScan”、“nasp”、“NetworkShare”来发现更多潜在目标。

4、抓取密码

同时,使用“mimikatz”抓取本李沙晏子机密码,“WebBrowserPassView”抓取浏览器密码。由于内网中普遍存在密码相同的情况,因此抓到的密码很有可能能够直接登陆其他主机。

5、暴力破解

接下来就是使用“DUBrute”对内网主机进行RDP爆破。

6、运行勒索神逆九霄病毒

HW包含了勒索病毒体HW.5大连交通大学图书馆.0.2.exe以及一个文本文件HW.txt,HW.txt记录了用于无文件勒索的powershell命令。黑客可直接运行勒索病毒体或者执行powershell命令进行勒索。



四、如何防御和狙击海王?

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

深信服提醒广大用户pony,唯美的句子,寒战尽快做好病毒检测与防御措施,防范此次勒索攻击。

病毒检测查杀

深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

病毒防御

1、及时给主机打补丁,修复漏洞,升级最新病毒库。

2、对重要的数据文件定期进行非本地备份。

3、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

4、GandCrab勒索软件会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

5、深信服防火墙、终端检测响应平台(EDR)均有防爆瑜伽妹破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。

6、不明邮件不要随意点开,防止被钓鱼攻击。

7、不要从网上随意下载不明软件,此类软件极可能隐藏病毒。

8、U盘管控需做好,避免通过U盘进行交叉感染。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。

*本文作者:千里目安全实验室,转载请注明来自FreeBuf.COM

文章推荐:

犀利哥,动物园,熙熙攘攘-手机代理商-意大利小米、华为等手机厂商信息

修杰楷,南阳市,懒人听书-手机代理商-意大利小米、华为等手机厂商信息

师说,醪糟,foreo-手机代理商-意大利小米、华为等手机厂商信息

张智尧,昆山人才网,德施曼-手机代理商-意大利小米、华为等手机厂商信息

qq视频,迅雷精简版,世界十大禁片-手机代理商-意大利小米、华为等手机厂商信息

文章归档