GandCrab v5已经发布了一些明显的变化。最引人注目的变化是勒索软件现在使用随机5字符扩展名来加密文件,并且有一个HTML勒索赎金。
安全研究人员nao_sec 发现,GandCrab v5勒索软件目前正通过恶意广告进行分发,重定向到托管Fallout漏洞利用工具包的网站。由于漏洞利用工具包利用访问者软件中的漏洞来安装软件,受害者将在不知情的情况下被感染,直到他们找到加密文件和勒索信息为止。
与以前的版本一样,没有办法免费解密GandCrab v5的受害者。对于那些希望讨论此赎金或获得支持的人,您可以使用我们专门的 GandCrab帮助和支持主题。
执行GandCrab v5时,它将扫描计算机和任何网络共享文件以进行加密。扫描网络共享时,它将枚举网络上的所有共享,而不仅仅是映射的驱动器。因此,确保所有网络共享都锁定在您的网络上非常重要。
当遇到目标文件时,它将加密文件,然后附加一个随机的5个字符的扩展名。例如,当我测试勒索软件时,它将.lntps扩展名附加到加密文件的名称。这将导致名为test.doc的文件被加密并重命名为test.doc.lntps。
您可以在下面看到带有加密文件的文件夹示例。
在加密文件时,勒索软件还会创建名为 [extension] -DECRYPT.html 和[EXTENSION] -DECRYPT.txt的赎金票据。例如,在我们的测试中,扩展名为lntps,因此赎金票据名为LNTPS-DECRYPT.html。
此赎金说明包含有关您的文件发生的信息以及如何访问TOR支付网站的说明,该网站目前位于http://gandcrabmfe6mnef.onion。您可以在下面看到示例赎金票据。
如果用户访问TOR支付网站,他们将获得赎金金额以及如何支付以获得GandCrab Decryptor的说明。
目前赎金金额为DASH(DSH)加密货币支付800美元,如下所示。
TOR支付站点还包括免费测试解密和支持站点,您可以在其中使用勒索软件开发人员发送和接收消息。
如前所述,无法解密GandCrab v5加密的文件。与往常一样,如果您希望讨论此勒索软件或获得有关它的帮助,您可以使用我们的 GandCrab帮助和支持主题
为了保护自己免受勒索软件的侵害,使用良好的计算习惯和安全软件非常重要。最重要的一步是始终拥有可靠且经过测试的数据备份,以便在紧急情况下(例如勒索软件攻击)可以恢复。
您还应该确保没有任何计算机运行直接连接到Internet的远程桌面服务。而是将运行远程桌面的计算机放在VPN后面,以便只有在网络上拥有VPN帐户的人才能访问它们。
一个良好的安全软件解决方案,结合行为检测来打击勒索软件,而不仅仅是使用签名检测或启发式方法也很重要。例如, Emsisoft Anti-Malware 和 Malwarebytes Anti-Malware 都包含行为检测,可以防止许多(如果不是大多数)勒索软件感染加密计算机。
最后,但并非最不重要的是,确保您遵守以下安全习惯,这在很多情况下是最重要的步骤:
有关勒索软件保护的完整指南,请访问我们的“ 如何保护和强化计算机免受勒索 软件”一 文。
领取专属 10元无门槛券
私享最新 技术干货