预警编号:NS-2018-0033
2018-11-02
TAG: | GandCrab、勒索病毒 |
---|---|
危害等级: | 高,GandCrab勒索病毒已出现新变种,感染范围较广。 |
版本: | 1.0 |
1
风险概述
GandCrab病毒家族具有快速更新的特点,从今年9月份V5版本面世以来,出现了包括了5.0、5.0.2、5.0.3、5.0.4以及最新的5.0.5多个版本的变种。国内多个行业客户受到了GandCrab家族的攻击,请相关用户关注,及时做好防护措施。
GandCrab病毒自身不具备蠕虫传播特征,传播途径主要是通过RDP暴力破解的方式。病毒采用Salsa和RSA-2048算法对文件进行加密,并修改后缀为.GDCB、.GRAB、.KRAB或随机字母,同时勒索软件还会更换系统桌面提示勒索信息。
勒索文件内容如下图所示:
被加密的文件会以随机的后缀名重命名:
关于GandCrabV 5.0.5的详细分析,请参见绿盟科技安全预警微信公众号相关文章《GandCrab V5.0.5勒索病毒样本分析》。
SEE MORE →
2安全建议
2.1 临时防护建议
2.2 本地安全策略防护
用户可通过配置本地安全策略中的账户策略,对RDP暴力破解攻击进行有效防护,具体步骤如下:
1、 使用“Windows”+“R”键,打开运行窗口,并输入“secpol.msc”,打开本地安全策略窗口。
2、 依次点击“账户策略”->“账户锁定策略”,在此处对账户锁定条件进行配置。
参数说明如下:
帐户锁定时间 | 此安全设置确定锁定帐户在自动解锁之前保持锁定的分钟数。 |
---|---|
帐户锁定阈值 | 此安全设置确定导致用户帐户被锁定的登录尝试失败的次数。 |
重置帐户锁定计数器 | 此安全设置确定在某次登录尝试失败之后将登录尝试失败计数器重置为 0 次错误登录尝试之前需要的时间。 |
2.3 IPS防护
为防止攻击者通过RDP爆破的方式植入勒索病毒,可通过配置入侵防护系统(IPS)进行有效防护,详细操作如下:
1. 更新IPS规则库,用户可通过在线升级或离线升级的方式升级到新版本规则库,使用离线升级方式的用户可访问如下链接获取最新的规则升级包:
http://update.nsfocus.com/update/listIps
2、配置入侵防护策略,依次点击“策略”-“入侵防护”-“新建”。RDP爆破的检测规则名为:“[23545] Microsoft Windows远程桌面用户登录口令暴力猜测。”该规则默认已包含在Default规则模板中。
在弹出的窗口中,按照下图进行配置,配置完成后点击“确定”:
3、依次点击“策略”-“应用管理”-“应用管理策略”-“新建”。
在弹出的窗口中,按照下图进行配置:
注:如果用户对应用管理日志不关注或者产生大量日志导致运维困难,可以关闭日志记录,不影响对RDP暴力破解事件的检测。
4、用户还可根据实际情况调整针对RDP爆破的检测频率,依次点击“系统”-“系统配置”-“专业参数”,相关参数说明如下:
参数名 | 说明 |
---|---|
merger_time | 默认为3600s,表示3600s内同源同目的的相同事件只显示一次 |
violence_guess_check_level | 开启或关闭爆破检测 |
violence_guess_check_level | 单位时间内爆破次数 |
violence_guess_limit_time | 检测的单位时间(秒) |
5、点击右上角的“应用配置”或重启引擎,使配置生效即可。
附录A解密工具
病毒作者已经公开了部分5.0.3及之前版本的解密密钥,这些密钥主要是针对叙利亚地区的受害者,Bitdefender已经发布了针对GandCrab勒索软件的解密工具,该工具只能恢复感染5.0.4及以前版本的文件。对于已经受此病毒影响的用户,可尝试通过解密工具将数据进行还原,下载链接如下:
https://labs.bitdefender.com/wp-content/uploads/downloads/gandcrab-removal-tool-v1-v4-v5/
解密成功后会提示如下信息:
注:
1、该工具仅内置了部分解密密钥,用户在解密过程中可能会出现解密失败的情况。
2、解密工具作者强烈建议在解密开始前选择“备份文件”选项,在解密的同时保留加密文件,在确保解密文件可以安全打开且没有损坏后,再对其进行删除。
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。