最近聽說又爆發了一種勒索病毒,人稱GandCrab V3.0。有沒有人和我一樣覺得這名字似曾相識,好像在夢裡見過它。對,你沒記錯,名叫GandCrab的病毒已經相繼爆發四次了,雖然每次的病毒都本是同根生,但又都各有不同。下面梳理一下GandCrab病毒的前世今生,並且會提供解決方法對付勒索病毒。
GandCrab初代
今年年初國外網絡安全專家發現了一種新型的勒索病毒,在虛擬貨幣盛行的今天,網絡勒索病毒層出不窮,GandCrab在眾多病毒中“脫穎而出”引起各界關注。有趣的是,這種病毒之所以引人注目有很大一部分原因是因為它的贖金。不同於其他勒索病毒提出的比特幣,門羅幣等贖金要求,GandCrab非常有個性地要求受害者以達世幣作為贖金來解救已被加密的文件。
有分析人士稱病毒開發者的此種做法很有可能是基於達世幣本身的隱匿性。達世幣是一種支持即時交易、以保護用戶隱私為目的數字貨幣。它基於比特幣,但更具匿名性,使得交易無法被追蹤查詢。沒想到此幣種的優點竟成為了病毒製造者利用的弱點,這種性質讓安全專家也覺得很頭疼。
初代的Gandcrab以掛馬病毒的方式隱藏在網頁中,用戶點擊後就有可能中招。Gandcrab加密電腦中的文件後會在文件名後加上.GDCB後綴,並向受害者索要1.54達世幣作為贖金(病毒爆發時約為1200美刀)。
圖1:GandCrab贖金勒索界面
再次病毒第一次爆發後,國內的疫情比較嚴重,被黑頁面涉及景區、交通等社會服務網點,影響極廣。幸運的是,國內的360安全團隊針對此種病毒及時地進行了解密並且提供瞭解決方案,使得疫情儘快得到了控制。
GandCrab V2.0 病毒二代目
在第一代GandCrab病毒爆發被解決後不久,國內又爆發了第二次GandCrab V2.0病毒。這次它的偽裝手段從掛馬變成了字體更新程序。想象一下,當你打開一個郵件或是一個網頁的時候,發現所有的文字都是亂碼,這時候,一個窗口提醒你下載字體更新程序,你會不會毫不猶豫就下載了?甚至會以為安全軟件彈出的警告是誤報?如果是,那麼恭喜你要中招了。很多無辜的人都上了病毒製造者的當,成了病毒的祭品。
病毒二代目除了偽裝手段不同還改變了被鎖文件的後綴。中了GandCrab V2.0病毒後用戶的文件會被加上.CRAB的後綴。這次的病毒仍然向受害者索要達世幣作為贖金,如果不想被病毒製造者吸血的話,最靠譜的辦法還是提前安裝安全軟件,並且相信安全軟件的安全提醒。
GandCrab V2.1 病毒三代目
消停了沒多久,GandCrab就又變著法的捲土重來了。今年四月國外安全研究人員再次發現了GandCrab勒索病毒的最新變種,並且命名其為GandCrab V2.1。
研究人員發現此次的病毒變種利用了RSA1024加密算法,將系統中的大部分文檔文件加密為.GRAB後綴的文件,然後對用戶進行勒索。這個再次變種後的勒索病毒主要通過郵件、漏洞、垃圾網站掛馬等方式進行傳播,但好在其不具備橫向感染的能力,不會對同一個局域網內的其他設備進行攻擊。
可能是GanCrab的病毒製造者發現只通過達世幣這種相對小眾的幣種不足以賺到足夠多的錢,這次的勒索病毒開始接受比特幣和達世幣作為贖金。
圖2:GandCrab V2.1贖金勒索界面
GandCrab V3病毒四代目
一波未平一波又起,終於,就在昨天這個病毒又來了。雖然名字叫GandCrab V3,但這已經是GandCrab病毒的第四次變種了。經歷了前三次後病毒製造者這次選擇利用CVE-2017-8570漏洞來傳播病毒。同時,本次病毒跟上了“韓流”,漏洞觸發後會顯示“안녕하세요”(韓語” 你好”)的文字內容來誘導受害者。
這次的病毒學得更聰明瞭,不僅沒有規定受害者交贖金的幣種,還要求受害者通過Tor網絡或者Jabber即時通訊軟件與其取得聯繫,進而溝通勒索條件。這種方法加大了受害者交贖金的幾率也加大了追查的難度。
俗話說壞人不可怕,就怕壞人有文化,如今威脅最大的是病毒製造者有了商業頭腦。國內已經出現了勒索病毒的產業鏈,有人開始在網絡上傳播勒索病毒生成器。這種行為很有可能導致病毒的大規模爆發。
圖4:網上流傳的勒索病毒生成器
還有一點兒,看下去你就知道怎麼對付勒索病毒了
網絡安全問題已經被社會各界各種媒體強調很多次了,但是針對越來越嚴峻的網絡安全形勢,360安全團隊還是要囉嗦幾句:
所謂好奇害死貓,廣大網友請千萬不要對陌生的網站,廣告,郵件等等產生過於旺盛的好奇心,這些很有可能是犯罪分子設下的陷阱,就等著你的點擊。
不要對安全軟件給出的安全提示置之不理,有些時候病毒會隱藏在正常的文件中,千萬別上當。我們保證安全軟件在大多數情況下給出的安全提醒都是正確的。
對於大多數勒索病毒,360文檔解密都是可以幫受害者找回文件的。為了預防突發的新型勒索病毒,廣大用戶還是需要安裝360安全衛士,在中招之前就讓我們把病毒扼殺在搖籃裡。
閱讀更多 壹觀點 的文章
