GandCrab5.0.4勒索变种来袭,国内部分医疗机构业务瘫痪
  

SANGFOR_智安全 7068

{{ttag.title}}
本帖最后由 某公司_智安全 于 2018-10-29 16:44 编辑


近期,GandCrab勒索家族在国内呈现爆发趋势,其GandCrab5.0.4最新变种已造成国内部分医疗行业出现业务瘫痪,影响医院正常看病治疗。某公司紧急预警,提醒广大用户做好防御措施,警惕GandCrab5.0.4
病毒名称GandCrab5.0.4变种
病毒性质勒索病毒
影响范围国内已有多个医疗机构接连受感染
危害等级高危
传播方式通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式传播,不具备内网传播能力。
病毒分析
01病毒描述
今年以来,GandCrab勒索家族持续活跃,某公司第一时间预警了GandCrab4.0GandCrab5.0GandCrab5.0.3等变种,不久前刚发预警的GandCrab5.0.3,依然非常活跃,福建、浙江、山西、吉林、贵州、天津多省份均有感染案例。
近日,我们发现GandCrab5.0.3已经升级到版本GandCrab5.0.4,并有多家医疗机构因最新变种导致业务瘫痪。
该变种同样采用RSA+AES加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索。
最新变种仍然主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,但会加密局域网共享目录文件夹下的文件。
02样本分析
本次5.0.4变种,入侵行为与5.0.3变种相似,具体可参考:紧急预警:流行勒索病毒GandCrab再爆V5.0.3变种!
其功能流程图也仍然沿用了5.0.3的框架:
5.0.4这个变种版本,硬编码了一张图片,并释放于被感染主机桌面:
结束进程
遍历进程,然后结束相关的进程。首先结束安全软件,实现病毒隐匿:
然后,结束各种应用软件,包括数据库软件:
区域豁免
通过查询操作系统安装的输入法和操作系统语言版本,确定是否豁免主机,中国不在豁免范围内。
加密文件
遍历主机文件目录,生成随机后缀名的加密文件,如下所示:
删除卷影
加密完成之后,通过ShellExecuteW函数调用wmic.exe程序,删除磁盘卷影:
最后,生成勒索信息文件并在桌面进行勒索。
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。

某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次勒索攻击。
  
病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
http://edr.sangfor.com.cn/tool/SfabAntiBot.zip
2、某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。
病毒防御
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6GandCrab勒索软件会利用RDP(远程桌面协议),如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、某公司下一代防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用110800511108002711080016规则,EDR开启防爆破功能可进行防御。
8、某公司下一代防火墙客户,建议升级到AF805版本,并开启智能安全检测引擎SAVE,以达到最好的防御效果。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+下一代防火墙+EDR,对内网进行感知、查杀和防护。
咨询与服务
您可以通过以下方式联系我们,获取关于GandCrab的免费咨询及支持服务:
1)拨打电话400-630-64306号线(已开通勒索软件专线)
2)关注某公司技术服务微信公众号,选择智能服务菜单,进行咨询
3PC端访问某公司区
bbs.sangfor.com.cn选择右侧智能客服,进行咨询
点击查看附件》》

GandCrab5.0.4勒索变种来袭,国内部分医疗机构业务瘫痪.docx

610.16 KB, 下载次数: 21

打赏鼓励作者,期待更多好文!

打赏
5人已打赏

黄常尧 发表于 2018-10-30 12:48
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
sailyang 发表于 2018-10-30 13:39
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
TCN 发表于 2018-10-30 15:52
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋;
雨轩 发表于 2018-10-31 15:35
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋;
ie5000 发表于 2018-10-31 16:52
  
充电充电
清荷听雨 发表于 2018-11-1 08:22
  
学习一下
sailyang 发表于 2018-11-1 10:44
  
学习了~谢谢
ie5000 发表于 2018-11-2 10:05
  
为啥总是医院在中招
新手486484 发表于 2021-4-24 23:06
  
充电充电                              
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
标准化排查
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

217
288
151

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人