GandCrab V5勒索软件

该GandCrab V5勒索软件已经开始利用最近披露的任务计划程序漏洞ALPC到受感染的计算机上，从而获得系统权限。微软最近在2018年9月的补丁周二修补了这个漏洞，但是仍然容易受到EternalBlue影响的计算机显示，安装这些更新的企业可能会很慢。

任务计划程序ALPC漏洞是由Twitter上的安全研究人员揭示的0day漏洞。使用时，该漏洞将允许使用系统权限执行可执行文件，这允许以完全管理权限执行命令。

GandCrab对此漏洞的使用最初是由名为Valthek的恶意软件分析师发现的，他在Twitter上发布了这个漏洞 。Valthek告诉BleepingComputer，这个漏洞似乎与安全研究员Kevin Beaumont在他的Github存储库中发布的漏洞相同。

Valthek进一步告诉BleepingComputer，这个漏洞很可能用于执行系统级命令，例如清除Shadow Volume副本以及动态创建勒索软件的壁纸。

Valthek在一些变体中也看到了一些奇怪的行为。例如，在一个变体中，勒索软件无法在Windows XP和Windows Vista上运行，但此后已在较新的版本中得到解决。此外，较新的版本已从HTML便笺切换为文本赎金便笺。

GandCrab疫苗更新以支持v5

Valthek还发布了一种疫苗，当它在计算机上运行时，可防止它被GandCrab感染。虽然这可能会保护一些用户，但应该提醒的是，GandCrab开发人员可以轻松地更改他们的程序以绕过这种疫苗。

我更新了针对#GandCrab版本5的疫苗。旧的疫苗仍在使用，但是放了一个自动生成的壁纸，现在疫苗会搜索它并在发现它时移除并放一个空的壁纸。https://t.co/cswC3PFW5L @BleepinComputer @yassine_lemmou @MarceloRivero - Valthek（@ValthekOn）2018年9月25日

下面你可以看一下我运行疫苗然后安装GandCrab后发生的事情。由于勒索软件无法运行，因此无法在壁纸中输入正确的信息。

如果您在尝试失败后运行疫苗，它将从％Temp％文件夹中删除壁纸。