GandCrab V5.2勒索病毒针对我国有关部门，要求通过Tor浏览器支付赎金

2019年3月13日，宜昌市夷陵区人民政府官网发布公告《关于防范勒索病毒 GANDCRAB 攻击 的预警通报》称，近期有境外黑客组织对我国有关部门发起了勒索病毒邮件攻击，勒索病毒版本号为GANDCRABV5.2。

GandCrab 勒索病毒是2018年勒索病毒家族中最活跃的家族，在一年的时间里经历了五个大版本的更新，而在2019年2月份继续升级到了 GandCrab V5.2，根据国家网络与信息安全信息通报中心监测发现，这次攻击事件从2019年3月11日就已经有了动静。

受害者邮箱会收到一封邮件，标题为“你必须在3月11日下午3点向警察局报到!”邮件内容则是一个以日期命名的 rar 格式压缩包。

而根据捕获的样本来看，压缩包中的伪装文件并不大一样，有的是乱码的exe可执行文件，也有用“XXX.doc .exe”这种包含多个空格，以此来伪装成word文件的，也有直接伪装成PDF文件的，花样繁多。

只要受害者警惕性低的情况下打开了病毒文件，结果都只有一个。电脑中文件被加密，并随即添加文件后缀，并“贴心地”告诉你如何如何支付赎金。

攻击者要求受害者下载Tor浏览器，通过浏览器打开特定的页面，例如上图所展示的暗网地址是：http://gandcrabmfe6mnef.onion/2f7a3eb776b9c9c2。

该地址打开之后，要求用户查找并上传 -DECRYPT.txt 或 -MANUAL.txt文件，才能进行下一步支付赎金操作。

GandCrab勒索病毒在国内擅长使用弱口令爆破，挂马，垃圾邮件传播，该病毒由于使用了RSA+Salsa20的加密方式。无法拿到病毒作者手中私钥常规情况下无法解密。而针对这次病毒样本，腾讯御见威胁情报中心在 FreeBuf 专栏发布了详细的分析：

勒索病毒GandCrab5.2预警：冒充政府机关进行鱼叉邮件攻击 https://www.freebuf.com/column/198155.html

安全建议

企业用户：

1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、对重要文件和数据（数据库等数据）进行定期非本地备份。

6、教育终端用户谨慎下载陌生邮件附件，若非必要，应禁止启用Office宏代码。

7、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在具备专业安全防护能力的云服务。

个人用户：

1、不要打开来历不明的邮件附件；

2、及时安装主流杀毒软件，升级病毒库，对相关系统进行全面扫描查杀；

3、在Windows中禁用U盘的自动运行功能；

4、及时升级操作系统安全补丁，升级Web、数据库等服务程序，防止病毒利用漏洞传播。

参考链接

1.http://www.10.gov.cn/content-638-521871-1.html 2.https://www.freebuf.com/column/198155.html

*本文作者：shidongqi，转载请注明来自FreeBuf.COM