GandCrab V5勒索软件

GandCrab V5勒索软件已经开始利用最近披露的任务计划程序漏洞ALPC到受感染的计算机上,从而获得系统权限。微软最近在2018年9月的补丁周二修补了这个漏洞,但是仍然容易受到EternalBlue影响的计算机显示,安装这些更新的企业可能会很慢。

任务计划程序ALPC漏洞是由Twitter上的安全研究人员揭示的0day漏洞。使用时,该漏洞将允许使用系统权限执行可执行文件,这允许以完全管理权限执行命令。

GandCrab对此漏洞的使用最初是由名为Valthek的恶意软件分析师发现的,他在Twitter上发布了这个漏洞 。Valthek告诉BleepingComputer,这个漏洞似乎与安全研究员Kevin Beaumont在他的Github存储库中发布的漏洞相同。

Valthek进一步告诉BleepingComputer,这个漏洞很可能用于执行系统级命令,例如清除Shadow Volume副本以及动态创建勒索软件的壁纸。

Valthek在一些变体中也看到了一些奇怪的行为。例如,在一个变体中,勒索软件无法在Windows XP和Windows Vista上运行,但此后已在较新的版本中得到解决。此外,较新的版本已从HTML便笺切换为文本赎金便笺。

GandCrab疫苗更新以支持v5

Valthek还发布了一种疫苗,当它在计算机上运行时,可防止它被GandCrab感染。虽然这可能会保护一些用户,但应该提醒的是,GandCrab开发人员可以轻松地更改他们的程序以绕过这种疫苗。

我更新了针对#GandCrab版本5的疫苗。旧的疫苗仍在使用,但是放了一个自动生成的壁纸,现在疫苗会搜索它并在发现它时移除并放一个空的壁纸。https://t.co/cswC3PFW5L @BleepinComputer @yassine_lemmou @MarceloRivero - Valthek(@ValthekOn)2018年9月25日

下面你可以看一下我运行疫苗然后安装GandCrab后发生的事情。由于勒索软件无法运行,因此无法在壁纸中输入正确的信息。

如果您在尝试失败后运行疫苗,它将从%Temp%文件夹中删除壁纸。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/gandcrab-v5-ransomware-utilizing-the-alpc-task-scheduler-exploit/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券