首页 首页 科技 「电子竞技新闻网」勒索病毒GANDCRAB V5.2预警

「电子竞技新闻网」勒索病毒GANDCRAB V5.2预警



「电子竞技新闻网」勒索病毒GANDCRAB V5.2预警

电子竞技新闻网,1. 病毒版本

近日,安恒应急响应中心在持续关注gandcrab勒索病毒传播情况时发现,目前该勒索病毒依然活跃,虽然病毒有多种传播方式,但主要还通过邮件附件传播较多,有伪装成*.jpg或*.bmp的可执行文件,有压缩打包*.js文件的,然后调用powershell下载加密程序,也有*.js直接释放的版本,还有利用office宏下载vbs脚本再下载加密程序的等各种版本。

2. 网络特征

病毒运行时会请求www.kakaocorp.link这个c2域名,如果局域网出口流量监测到有对该域名的请求,表示网络中可能有主机已中招,需要及时排查,不过病毒后续版本可能会更改成其他c2域名,请及时关注最新安全预警。

3. 主机防御

建议在具有安全隔离的虚拟机系统中打开邮件附件,同时取消打勾“文件夹选项->查看->隐藏已知文件类型的扩展名”,这种状态下可看到文件实际扩展名,对*.jpg.exe、*.bmp.exe、*.js、*.vbs等可执行文件谨慎点击(点击即会运行)。

4. 病毒样本

该勒索病毒目前是5.2版本,www.nomoreransom.org网站上可以找到针对v5.1之前部分版本的解密工具,但对5.2版本无效,一些5.2版本的样本在2018年8月编译,文件是韩文的.doc文档(例如:의제.doc),通过office宏下载vbs脚本再下载加密程序,另一些js直接释放的版本编译时间为2018年4月,virustotal中暂无记录。

5. 安全建议

对于勒索病毒的通用防护方案是合理的备份系统文件(该病毒会通过vssadmin命令删除本机卷影副本,因此最好把文件备份到独立存储中),同时保持良好的在安全隔离虚拟机系统中运行邮件附件的习惯,也可以部署必要的安全防护软件拦截针对恶意加密行为的函数执行。

本文转自 安恒应急响应中心

推荐阅读:

注意!mirai又有新变种,企业物联网设备或成新目标

美国大量医疗记录和处方遭泄露

第四轮数据出售:黑客在暗网上公开售卖2600万个账户

insec world世界信息安全大会9月登陆香港

fbi局长谈美国面临的网络威胁

▼点击“阅读原文” 查看更多精彩内容



湖北快三开奖结果



上一篇:流氓数学家,暴力与美学的证明

下一篇:火了!广东一高中招聘20人录取清北硕博19人,至于待遇……

相关新闻

最新新闻

热门新闻