“俠盜病毒”已攻擊我國(guó)，不可破解，盡快防禦！

近日，一款名爲GandCrab V5.2的“俠盜病毒”肆虐而至，已攻擊了巴西、美國(guó)、印度、印度尼西亞和巴基斯坦等多個國(guó)家，大有再現2017年WannaCry病毒“昔日榮光”（攻擊全球150多個國(guó)家、造成(chéng)總計超80億天價損失）的迹象。

截止目前，我國(guó)已有數千台政府以及企業的電腦遭受到攻擊，而各大安全團隊目前還(hái)未找到破解之法。MailData 在此提醒大家，千萬做好(hǎo)相關防禦措施。

一、爲何稱爲“俠盜病毒”

這(zhè)款GandCrab勒索病毒誕生于2018年1月，是一種(zhǒng)新型的比特币勒索病毒。自誕生後(hòu)的幾個月裡(lǐ)，迅速成(chéng)爲一顆“新星”，“技術實力強”是該團隊的标簽之一。

而團隊的另外一個标簽——“俠盜”，則來源于2018年發(fā)生的“叙利亞密鑰”事(shì)件。

2018年10月16日，一位名叫(jiào)Jameel的叙利亞父親在Twitter上發(fā)帖求助，說自己的電腦感染了GandCrab V5.0.3并遭到加密，由于無力支付高達600美元的“贖金”，他再也無法看到在戰争中喪生的小兒子的照片。

Twitter截圖

GandCrab勒索病毒制作者看到後(hòu)，随即發(fā)布了一條道(dào)歉聲明，稱其無意感染叙利亞用戶，并放出了部分叙利亞感染者的解密密鑰。GandCrab也随之進(jìn)行了V5.0.5更新，并將(jiāng)叙利亞以及其他戰亂地區加進(jìn)感染區域的“白名單”。此外，如果GandCrab監測到電腦系統使用的是俄語系語言，也會停止入侵。安全專家據此猜測病毒作者疑爲俄羅斯人。

此事(shì)一出，不少人對(duì)GandCrab生出好(hǎo)感，稱呼其爲“俠盜”。

“GandCrab頗有些武俠小說中俠盜的意味，盜亦有道(dào)，”一位匿名的安全人員說，“不過(guò)即使這(zhè)樣(yàng)，也不能(néng)說GandCrab的行爲就是正當的，畢竟它對(duì)其他國(guó)家的人就沒(méi)有心慈手軟。”

二、攻擊強悍：我國(guó)已經(jīng)成(chéng)爲重要攻擊目标

雖說GandCrab盜亦有道(dào)，但GrandCrab V 5.2版本所使用的語言，主要是中文、英文以及韓文，說明我國(guó)目前已經(jīng)成(chéng)爲其重要的攻擊目标。

根據國(guó)家網絡與信息安全信息通報中心監測，GandCrab V5.2自2019年3月11日開(kāi)始在中國(guó)肆虐，目前已攻擊了上千台政府、企業以及相關科研機構的電腦。

截止目前，湖北省宜昌市夷陵區政府、中國(guó)科學(xué)院金屬研究所、雲南師範大學(xué)以及大連市公安局等政府、企業、高校，均在其官網發(fā)布了防範病毒攻擊的公告。

據網絡安全分析師David Montenegro所說，GandCrab V5.2勒索病毒目前已經(jīng)感染了數千台中國(guó)電腦，接下來還(hái)將(jiāng)通過(guò)RDP和VNC擴展攻擊影響中國(guó)更多的電腦。

三、攻擊手段：垃圾郵件

據了解，GandCrab V5.2勒索病毒，目前主要是通過(guò)郵件形式攻擊。

攻擊者首先會向(xiàng)受害人郵箱發(fā)送一封郵件，主題爲“你必須在3月11日下午3點向(xiàng)警察局報到！”，發(fā)件人名爲“Min，Gap Ryong”，郵件附件名爲“03-11-19.rar”。

受害者一旦下載并打開(kāi)該附件，GandCrab V5.2會立刻對(duì)用戶主機硬盤數據進(jìn)行全盤加密，并讓受害者訪問特定網址下載Tor浏覽器，随後(hòu)通過(guò)Tor浏覽器登錄攻擊者的加密貨币支付窗口，要求受害者繳納贖金。

目前DVP區塊鏈安全團隊猜測，除了垃圾郵件投放攻擊，GandCrab V5.2還(hái)有可能(néng)采用“網頁挂馬攻擊”，即除了在一些非法網站上投放木馬病毒，攻擊者還(hái)可能(néng)攻擊一些防護能(néng)力比較弱的正規網站，在取得網站控制權後(hòu)攻擊登陸該網站的用戶。

另外，該病毒也有可能(néng)通過(guò)CVE-2019-7238(Nexus Repository Manager 3遠程代碼執行漏洞)以及Weblogic等漏洞進(jìn)行傳播。

但綜上所述，目前此勒索病毒的主要攻擊方式，仍是郵件爲主。

四、不可破解：地表最強的勒索病毒？

今年2月19日，Bitdefender安全實驗室專家曾根據GandCrab自己給出的密鑰，研發(fā)出了GandCrab V5.1之前所有版本病毒的“解藥”。

然而，道(dào)高一尺，魔高一丈。根據ZDnet報道(dào)，今年2月18日，就在Bitdefender發(fā)布最新版本破解器的前一天，GrandCrab發(fā)布了正肆虐版本V5.2，該版本至今無法破解。

目前在暗網中，GrandCrab幕後(hòu)團隊采用“勒索即服務”（“ransomware as-a-service” ）的方式，向(xiàng)黑客大肆售賣V5.2版本病毒，即由GrandCrab團隊提供病毒，黑客在全球選擇目标進(jìn)行攻擊勒索，攻擊成(chéng)功後(hòu) GrandCrab團隊再從中抽取30%-40%的利潤。

“垃圾郵件制造者們，你們現在可以與網絡專家進(jìn)行合作，不要錯失獲取美好(hǎo)生活的門票，我們在等你。”是GrandCrab團隊在暗網中打出的“招商廣告”。

GandCrab是目前第一個勒索Dash币的勒索病毒，後(hòu)來才加了比特币，要價499美元。據GandCrab團隊2018年12月公布的數據，其總計收入比特币以及Dash币合計已高達285萬美元。

對(duì)此勒索病毒，有一些論壇上出現了宣稱可以破解 GandCrab V5.2的企業和個人。一家匿名的區塊鏈安全公司表示，這(zhè)些基本都(dōu)是騙子，是皮包公司，根本沒(méi)有能(néng)力對(duì)病毒進(jìn)行破解。他們所宣稱可以破解GandCrab V5.2，其實是“代理”破解。

他們的破解條件是先付款，再破解，即他們收你的錢，幫你向(xiàng)勒索者支付加密貨币，從而拿到解密密鑰（破解）。

五、防禦之法

面(miàn)對(duì)攻擊者的來勢洶洶，宜昌市夷陵區政府給出了一些應對(duì)之策：

1. 不要打開(kāi)來曆不明的郵件附件；
2. 及時安裝主流殺毒軟件，升級病毒庫，對(duì)相關系統進(jìn)行全面(miàn)掃描查殺；
3. Windows中禁用U盤的自動運行功能(néng)；
4. 及時升級操作系統安全補丁，升級Web、數據庫等服務程序，防止病毒利用漏洞傳播；
5. 對(duì)已感染主機或服務器采取斷網措施，防止病毒擴散蔓延。

而對(duì)于郵件來往密集的企事(shì)業單位，MailData 建議盡快安裝郵件網關系統，以專業的病毒庫來進(jìn)行防禦。因爲對(duì)于目前暫時無法破解的病毒，還(hái)是從根源上杜絕它們的進(jìn)入更爲保險。

本文轉至廣東省網絡安全應急響應平台