近期,GandCrab勒索家族在国内呈现爆发趋势,其GandCrab5.0.4最新变种已造成国内部分医疗行业出现业务瘫痪,影响医院正常的工作秩序,给大量患者的诊治制造了困扰。安全狗攻防实验室第一时间关注了事件进展。根据最新的研究分析,我们总结出了一些防护建议,敬请用户知晓。

勒索病毒简介

今年以来,GandCrab勒索家族持续活跃,安全狗在病毒事件曝光后即进行了跟踪研究,并整理了针对性的解决方案,用户可关注安全狗微信公众号获取。

GandCrab勒索家族包含有GandCrab4.0、GandCrab5.0、GandCrab5.0.3等变种,福建、浙江、山西、吉林、贵州、天津多省份均有感染案例。近期,新的迹象表明GandCrab5.0.3已经升级到版本GandCrab5.0.4,并有多家医疗机构因最新变种导致业务瘫痪。该变种同样采用RSA+AES加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索。

最新变种仍然主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,但会加密局域网共享目录文件夹下的文件。

处置建议

针对该家族的勒索病毒,可以通过以下手段尽可能地预防

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

与此同时,结合安全狗的相关安全产品和技术,我们推出了更有针对性的,从事前、事中和事后三个阶段来处理和应对的专项解决方案。

事前加固

1、检测并修复弱口令

2、制定严格的端口管理策略

3、设置防爆破策略

4、一键更新漏洞补丁

5、病毒木马检测

事中防御

1、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。

2、结合威胁情报提供的远控或高危黑IP,感知可能正在发生的攻击事件

事后处置

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。可开启IPS和僵尸网络功能进行封堵。

3、查找攻击源:手工抓包分析或借助安全狗啸天态势感知平台快速查找攻击源,避免更多主机持续感染。

4、查杀病毒:推荐使用安全狗进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。