勒索病毒GandCrab4.3新增蠕蟲式攻擊方式 騰訊“御界”全面展開防御

GandCrab是今年非常活躍的勒索病毒新家族，其變種更新迭代迅速，對用戶網(wǎng)絡(luò)安全造成極大的威脅。繼九月中旬?dāng)r截發(fā)現(xiàn)勒索病毒GandCrab V4.3可釋放挖礦木馬后，騰訊智慧安全御見威脅情報(bào)中心又監(jiān)控到近期其攻擊有上升趨勢。與以往通過Web服務(wù)器弱點(diǎn)入侵不同，該病毒本次通過具有蠕蟲病毒特征的多樣化攻擊方式在局域網(wǎng)內(nèi)擴(kuò)散傳播，如感染U盤、壓縮包、Web目錄、VNC 5900端口爆破攻擊等，攻擊成功率大大提升，針對企業(yè)網(wǎng)絡(luò)的危害也進(jìn)一步升級。目前，騰訊電腦管家已對勒索病毒GandCrab V4.3進(jìn)行全面攔截、查殺。

（圖：勒索病毒GandCrab V4.3攻擊呈上升趨勢）

據(jù)騰訊安全技術(shù)專家介紹，勒索病毒GandCrab V4.3會(huì)檢查用戶電腦當(dāng)前運(yùn)行環(huán)境是否有開發(fā)工具、虛擬機(jī)系統(tǒng)、沙箱系統(tǒng)、常見系統(tǒng)管理工具等進(jìn)程，待確認(rèn)沒有后，就會(huì)釋放病毒副本添加啟動(dòng)項(xiàng)，進(jìn)而危害用戶電腦，若檢測發(fā)現(xiàn)有相關(guān)工具進(jìn)程，挖礦木馬就會(huì)立即停止運(yùn)行并退出。勒索病毒GandCrab V4.3以此對抗人工分析，并欺騙安全軟件普遍采用的云端自動(dòng)鑒定分析系統(tǒng)，增加了安全檢測的難度。

在局域網(wǎng)內(nèi)部，勒索病毒GandCrab V4.3通過感染U盤、硬盤壓縮文件、網(wǎng)頁目錄傳播，局域網(wǎng)內(nèi)爆破VNC 5900端口弱口令傳播，令安全措施不足的企業(yè)內(nèi)網(wǎng)受到嚴(yán)重沖擊。例如，該病毒會(huì)感染U盤、移動(dòng)硬盤，并配置自動(dòng)播放模式傳播，在其他電腦插上已染毒U盤時(shí)病毒程序得以自動(dòng)運(yùn)行。硬盤Web目錄受到感染后，會(huì)用病毒程序覆蓋該目錄下的EXE文件。如果該目錄被發(fā)布到網(wǎng)站，下載程序的電腦就可能中毒。

一旦勒索病毒GandCrab V4.3成功入侵用戶電腦，會(huì)加密重要文件并添加KRAB擴(kuò)展后綴，并要求用戶支付499美元的比特幣或達(dá)世幣購買解密工具。此外，該病毒還會(huì)利用被感染的電腦進(jìn)行挖礦。騰訊御見威脅情報(bào)中心建議企業(yè)用戶高度警惕GandCrab V4.3勒索病毒在企業(yè)內(nèi)網(wǎng)的傳播，避免給企業(yè)業(yè)務(wù)安全帶來不可估量的損失。

目前來看，結(jié)合勒索與挖礦的勒索病毒GandCrab V4.3逐漸成為不法黑客的“寵兒”，企業(yè)必須隨時(shí)評估其防御能力，確保自身足以應(yīng)付來自黑客的最新威脅。對此，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大企業(yè)網(wǎng)管，盡量關(guān)閉不必要的端口，可進(jìn)行白名單配置，只允許白名單內(nèi)的IP連接登陸；關(guān)閉不必要的文件共享；采用高強(qiáng)度的密碼，并定期更換密碼；對重要文件和數(shù)據(jù)進(jìn)行定期非本地備份；并對沒有互聯(lián)需求的服務(wù)器/工作站內(nèi)部訪問設(shè)置相應(yīng)控制，避免可連外網(wǎng)服務(wù)器被攻擊后作為跳板進(jìn)一步攻擊其他服務(wù)器。

（圖：騰訊安全企業(yè)級產(chǎn)品御界）

同時(shí)，他建議企業(yè)全網(wǎng)安裝御點(diǎn)終端安全管理系統(tǒng)和御界高級威脅檢測系統(tǒng)，全面增強(qiáng)企業(yè)網(wǎng)絡(luò)抵御攻擊威脅的能力，有效防御來自內(nèi)網(wǎng)終端的病毒木馬攻擊，通過安裝終端殺毒軟件等防御措施應(yīng)對層出不窮的病毒威脅，避免企業(yè)遭受損失。