一本大道香蕉久在线播放29,亚洲а∨无码2019在线观看,а天堂中文在线官网在线,欧美xxxxx精品

近日，深信服安全團(tuán)隊(duì)發(fā)現(xiàn)GandCrab4.0活躍度提升，跟蹤到多起GandCrab4.0變種勒索事件，現(xiàn)發(fā)布安全預(yù)警，提醒廣大用戶預(yù)防GandCrab4.0勒索。

GandCrab4.0變種采用RSA+AES加密算法，將系統(tǒng)中的大部分文檔文件加密為.KRAB后綴的文件，然后對(duì)用戶進(jìn)行勒索。該勒索病毒主要通過RDP爆破、郵件、漏洞、垃圾網(wǎng)站掛馬等方式進(jìn)行傳播，其自身不具備感染傳播能力，不會(huì)主動(dòng)對(duì)局域網(wǎng)的其他設(shè)備發(fā)起攻擊，會(huì)加密局域網(wǎng)共享目錄文件夾下的文件。

病毒名稱：GandCrab4.0變種

病毒性質(zhì)：勒索病毒

影響范圍：大部分集中在巴西、美國(guó)、印度、印度尼西亞和巴基斯坦等國(guó)家，近期開始在國(guó)內(nèi)活躍

危害等級(jí)：高危

傳播方式：郵件、漏洞、垃圾網(wǎng)站掛馬等方式傳播，不具備內(nèi)網(wǎng)傳播能力

病毒分析

病毒描述

GandCrab勒索病毒是2018年上半年傳播范圍最廣、攻擊頻率最高的勒索病毒之一。該勒索家族于2018年01月被首次發(fā)現(xiàn)后，短短幾個(gè)月的時(shí)間，就連續(xù)出現(xiàn)了V1.0,V2.0,V2.1,V3.0,V4.0等變種，非?；钴S，目前此勒索病毒采用RSA+AES加密算法，無法被解密。

該勒索病毒主要通過RDP爆破、郵件、漏洞、垃圾網(wǎng)站掛馬等方式進(jìn)行傳播，其自身不具備感染傳播能力，不會(huì)主動(dòng)對(duì)局域網(wǎng)的其他設(shè)備發(fā)起攻擊，會(huì)加密局域網(wǎng)共享目錄文件夾下的文件。

樣本分析

該勒索病毒的場(chǎng)景流程圖如下所示：

混淆加密內(nèi)存解密：

樣本經(jīng)過多層封裝與代碼混淆，代碼會(huì)經(jīng)過幾層解密操作，在內(nèi)存中解密出勒索病毒Payload代碼，最后進(jìn)行內(nèi)存拷貝，屬性更改之后，跳轉(zhuǎn)到相應(yīng)的勒索Payload入口點(diǎn)執(zhí)行勒索操作。

提升權(quán)限：

進(jìn)行自我提權(quán)，將病毒自身的進(jìn)程權(quán)限提高，以更高權(quán)限執(zhí)行任意操作。

殺進(jìn)程：

該勒索軟件進(jìn)行遍歷進(jìn)程的操作，并結(jié)束相關(guān)的進(jìn)程，相關(guān)的進(jìn)程列表如下：

區(qū)域豁免：

該病毒對(duì)俄羅斯、烏茲別克斯坦、亞利桑那州等區(qū)域進(jìn)行了保護(hù)，做了主機(jī)豁免的動(dòng)作，通過查詢操作系統(tǒng)安裝的輸入法和操作系統(tǒng)語言版本，確定是否豁免主機(jī)。#p#分頁(yè)標(biāo)題#e#

生成公鑰：

利用程序中硬編碼的數(shù)據(jù)，生成加密RSA的公鑰public：

加密文件：

遍歷主機(jī)文件目錄，生成以.KRAB為后綴的加密文件，如下圖所示：

刪除卷影：

加密完成之后，通過ShellExecuteW函數(shù)調(diào)用wmic.exe程序，刪除磁盤卷影。

最后，彈出勒索信息文件

解決方案

深信服提醒廣大用戶盡快做好病毒檢測(cè)與防御措施，防范此次勒索攻擊。

病毒檢測(cè)查殺

1、深信服為廣大用戶免費(fèi)提供查殺工具，可下載如下工具，進(jìn)行檢測(cè)查殺。

http://edr.sangfor.com.cn/tool/SfabAntiBot.zip

2、深信服EDR產(chǎn)品及防火墻等安全產(chǎn)品均具備病毒檢測(cè)能力，部署相關(guān)產(chǎn)品用戶可進(jìn)行病毒檢測(cè)。

病毒防御

1、及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞。

2、對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份。

3、不要點(diǎn)擊來源不明的郵件附件，不從不明網(wǎng)站下載軟件。

4、盡量關(guān)閉不必要的文件共享權(quán)限。

5、更改賬戶密碼，設(shè)置強(qiáng)密碼，避免使用統(tǒng)一的密碼，因?yàn)榻y(tǒng)一的密碼會(huì)導(dǎo)致一臺(tái)被攻破，多臺(tái)遭殃。

6、GandCrab勒索軟件之前的變種會(huì)利用RDP(遠(yuǎn)程桌面協(xié)議)，如果業(yè)務(wù)上無需使用RDP的，建議關(guān)閉RDP。當(dāng)出現(xiàn)此類事件時(shí)，推薦使用深信服防火墻，或者終端檢測(cè)響應(yīng)平臺(tái)(EDR)的微隔離功能對(duì)3389等端口進(jìn)行封堵，防止擴(kuò)散!

7、深信服防火墻、終端檢測(cè)響應(yīng)平臺(tái)(EDR)均有防爆破功能，防火墻開啟此功能并啟用11080051、11080027、11080016規(guī)則，EDR開啟防爆破功能可進(jìn)行防御。

最后，建議企業(yè)對(duì)全網(wǎng)進(jìn)行一次安全檢查和殺毒掃描，加強(qiáng)防護(hù)工作。推薦使用深信服安全感知+防火墻+EDR，對(duì)內(nèi)網(wǎng)進(jìn)行感知、查殺和防護(hù)。