近期,GandCrab勒索家族在國內(nèi)呈現(xiàn)爆發(fā)趨勢,其GandCrab5.0.4最新變種已造成國內(nèi)部分醫(yī)療行業(yè)出現(xiàn)業(yè)務(wù)癱瘓,影響醫(yī)院正常的工作秩序,給大量患者的診治制造了困擾。安全狗攻防實(shí)驗(yàn)室第一時(shí)間關(guān)注了事件進(jìn)展。根據(jù)最新的研究分析,我們總結(jié)出了一些防護(hù)建議,敬請用戶知曉。
勒索病毒簡介
今年以來,GandCrab勒索家族持續(xù)活躍,安全狗在病毒事件曝光后即進(jìn)行了跟蹤研究,并整理了針對(duì)性的解決方案,用戶可關(guān)注安全狗微信公眾號(hào)獲取。
GandCrab勒索家族包含有GandCrab4.0、GandCrab5.0、GandCrab5.0.3等變種,福建、浙江、山西、吉林、貴州、天津多省份均有感染案例。近期,新的跡象表明GandCrab5.0.3已經(jīng)升級(jí)到版本GandCrab5.0.4,并有多家醫(yī)療機(jī)構(gòu)因最新變種導(dǎo)致業(yè)務(wù)癱瘓。該變種同樣采用RSA+AES加密算法,將系統(tǒng)中的大部分文檔文件加密為隨機(jī)后綴名的文件,然后對(duì)用戶進(jìn)行勒索。
最新變種仍然主要通過RDP爆破、郵件、漏洞、垃圾網(wǎng)站掛馬等方式進(jìn)行傳播,其自身不具備感染傳播能力,不會(huì)主動(dòng)對(duì)局域網(wǎng)的其他設(shè)備發(fā)起攻擊,但會(huì)加密局域網(wǎng)共享目錄文件夾下的文件。
處置建議
針對(duì)該家族的勒索病毒,可以通過以下手段盡可能地預(yù)防
1、及時(shí)給電腦打補(bǔ)丁,修復(fù)漏洞。
2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。
3、不要點(diǎn)擊來源不明的郵件附件,不從不明網(wǎng)站下載軟件。
4、盡量關(guān)閉不必要的文件共享權(quán)限。
5、更改賬戶密碼,設(shè)置強(qiáng)密碼,避免使用統(tǒng)一的密碼,因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破,多臺(tái)遭殃。
與此同時(shí),結(jié)合安全狗的相關(guān)安全產(chǎn)品和技術(shù),我們推出了更有針對(duì)性的,從事前、事中和事后三個(gè)階段來處理和應(yīng)對(duì)的專項(xiàng)解決方案。
事前加固
1、檢測并修復(fù)弱口令
2、制定嚴(yán)格的端口管理策略
3、設(shè)置防爆破策略
4、一鍵更新漏洞補(bǔ)丁
5、病毒木馬檢測
事中防御
1、通過對(duì)網(wǎng)絡(luò)內(nèi)部主機(jī)的進(jìn)程、會(huì)話、資源等指標(biāo)參數(shù)進(jìn)行監(jiān)測以發(fā)現(xiàn)異常的可疑行為。
2、結(jié)合威脅情報(bào)提供的遠(yuǎn)控或高危黑IP,感知可能正在發(fā)生的攻擊事件
事后處置
1、隔離感染主機(jī):已中毒計(jì)算機(jī)盡快隔離,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡。
2、切斷傳播途徑:關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口,關(guān)閉異常的外聯(lián)訪問??砷_啟IPS和僵尸網(wǎng)絡(luò)功能進(jìn)行封堵。
3、查找攻擊源:手工抓包分析或借助安全狗嘯天態(tài)勢感知平臺(tái)快速查找攻擊源,避免更多主機(jī)持續(xù)感染。
4、查殺病毒:推薦使用安全狗進(jìn)行病毒查殺,快速分析流行事件,實(shí)現(xiàn)終端威脅閉環(huán)處置響應(yīng)。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!