360互联网安全中心监测发现,近期出现了黑客利用Tomcat服务端漏洞对服务器进行批量入侵,一旦成功便会向服务器植入GandCrab勒索病毒,中招机器上的文件将被加密并带上KRAB后缀。
图1 黑客攻击流程
图2 部分被加密的文件
图3 GandCrab勒索信息
360提醒服务器管理人员——尽快升级Tomcat到最新版本以防止漏洞被黑客利用。另外,安装360安全卫士也能有效预防GandCrab勒索病毒攻击。
IOC
URL
hxxp://206.189.190.150/deke/123qwe.exe
hxxp://104.237.143.164/tare.exe
hxxp://104.237.143.164/new.exe
MD5
656b04cc32001839939d70ce36070e99
984afec2a32de61d4c049718b47ab3b3