您的位置:beat365亚洲官方网站 > 互联网资讯 > 超强勒索病毒GandCrab再现新版5.3

超强勒索病毒GandCrab再现新版5.3

2019-12-05 01:20

7、安装防勒索软件,防止未知病毒变种加密文件。

图:瑞星ESM与瑞星之剑成功拦截截图

文件的内容被Salsa20算法加密,文件名被追加上随机后缀。

beat365亚洲官方网站 1

beat365亚洲官方网站 2

beat365亚洲官方网站 3

6、安装勒索病毒防御软件,拦截病毒加密文件。

5、多台机器不使用相同密码。

3、及时更新系统补丁。

瑞星安全专家分析攻击者此次修改的原因有两种可能,第一种是部分受害者不知道如何访问病毒作者留下的暗网地址,所以无法与病毒作者取得联系,导致无法缴纳赎金;另一种情况是GandCrab 5.2之前版本的解密密钥托管在暗网服务器中,被欧洲多国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是躲避追查。

Anatova勒索病毒的恶意攻击者选择了不太出名的DASH这款加密货币作为付款方式,而2018年影响较大的GandCrab勒索病毒也选择要求通过这种货币支付。不仅如此,它们还都使用 Salsa20+RSA算法加密,都会检测系统语言,并且排除独联体国家。这是到底巧合还是有其他原因呢?目前我们尚不清楚这两个病毒作者之间的关系。

加密时排除一些文件和文件夹,防止系统无法正常运行。

beat365亚洲官方网站 4

病毒会结束指定进程,防止文件被占用无法加密,主要是针对数据库和办公软件的进程。

5、安装杀毒软件,保持防护开启,查杀病毒。

近日,瑞星安全专家捕获到最新勒索病毒GandCrab 5.3变种,此版本延续了5.2版本的主要技术,用户一旦中毒文件将无法打开,同时桌面背景图片会被修改为勒索信息,需要交纳赎金才可解密。而此次5.3版本与之前最大的不同之处在于,攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金,这极有可能是为了躲避警方的追查。

4、及时修改系统密码,避免使用过于简单的密码。

beat365亚洲官方网站 5

2、不打开来源不明的邮件。

6、安装杀毒软件及时更新病毒库。

图:Anatova勒索病毒伪装成游戏或其他应用

图:被加密文件

目前,美国受到Anatova勒索病毒的影响较大。此外,在比利时、德国、法国、英国和其他欧洲国家也相继发现了这个勒索病毒。虽然暂时还没有发现此病毒通过漏洞和弱口令传播,但是该病毒加密技术成熟,可以看出是由具备专业编程技能的黑客设计开发的,想要对Anatova勒索病毒展开分析和解密相当困难。因此,不排除未来此病毒的变种增加钓鱼邮件、漏洞、弱口令等方式进行攻击的可能,带来的威胁不可小觑。

技术分析

1、不下载可疑程序。

图:创建线程加密

瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。目前,瑞星所有个人及企业级产品均可对GandCrab 5.3勒索病毒进行查杀,瑞星之剑可以有效拦截该勒索病毒。

瑞星安全专家提醒广大用户,此病毒目前主要通过伪装游戏和正常软件传播,因此不下载可疑文件可以很大程度防止中毒。除此之外,采取以下防御措施,可防止更多类似病毒的攻击:

图:加密后的本机信息

近日,瑞星最新截获了一款名为Anatova的勒索病毒,该病毒十分狡猾,伪装成知名游戏《克苏鲁的呼唤》(The Call of Cthulhu)或其他应用,欺骗用户下载。一旦中招,它就会加密用户文件,并且删除10次系统自带备份,要求用户支付一笔不菲的赎金才可以解密文件。由于这款病毒使用了非对称算法加密密钥,所以在没有攻击者密钥的情况下无法解密文件。目前,瑞星ESM及瑞星之剑等产品均可对该病毒进行防御和查杀,避免用户文件被病毒加密。

图:删除卷影备份

beat365亚洲官方网站,图:判断计算机语言

1、不打开陌生或可疑邮件,不下载邮件附件。

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息,追加上勒索版本V5.3。

使用RC4算法将获取到的本机信息加密,发送给控制服务器用于统计感染量。

beat365亚洲官方网站 6

勒索病毒GandCrab 5.3运行后获取当前计算机语言,与病毒内置语言列表中的语言进行对比,如果本机语言在列表中则退出,不执行加密操作。

4、不使用弱口令密码。

beat365亚洲官方网站 7

beat365亚洲官方网站 8

图:修改后的桌面背景

本文由beat365亚洲官方网站发布于互联网资讯,转载请注明出处:超强勒索病毒GandCrab再现新版5.3

关键词: