阿里云優(yōu)惠券 先領券再下單

近期,GandCrab勒索家族在國內呈現爆發(fā)趨勢,其GandCrab5.0.4最新變種已造成國內部分醫(yī)療行業(yè)出現業(yè)務癱瘓,影響醫(yī)院正常的工作秩序,給大量患者的診治制造了困擾。安全狗攻防實驗室第一時間關注了事件進展。根據最新的研究分析,我們總結出了一些防護建議,敬請用戶知曉。

勒索病毒簡介

今年以來,GandCrab勒索家族持續(xù)活躍,安全狗在病毒事件曝光后即進行了跟蹤研究,并整理了針對性的解決方案,用戶可關注安全狗微信公眾號獲取。

GandCrab勒索家族包含有GandCrab4.0、GandCrab5.0、GandCrab5.0.3等變種,福建、浙江、山西、吉林、貴州、天津多省份均有感染案例。近期,新的跡象表明GandCrab5.0.3已經升級到版本GandCrab5.0.4,并有多家醫(yī)療機構因最新變種導致業(yè)務癱瘓。該變種同樣采用RSA+AES加密算法,將系統(tǒng)中的大部分文檔文件加密為隨機后綴名的文件,然后對用戶進行勒索。

最新變種仍然主要通過RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播,其自身不具備感染傳播能力,不會主動對局域網的其他設備發(fā)起攻擊,但會加密局域網共享目錄文件夾下的文件。

處置建議

針對該家族的勒索病毒,可以通過以下手段盡可能地預防

1、及時給電腦打補丁,修復漏洞。

2、對重要的數據文件定期進行非本地備份。

3、不要點擊來源不明的郵件附件,不從不明網站下載軟件。

4、盡量關閉不必要的文件共享權限。

5、更改賬戶密碼,設置強密碼,避免使用統(tǒng)一的密碼,因為統(tǒng)一的密碼會導致一臺被攻破,多臺遭殃。

與此同時,結合安全狗的相關安全產品和技術,我們推出了更有針對性的,從事前、事中和事后三個階段來處理和應對的專項解決方案。

事前加固

1、檢測并修復弱口令

2、制定嚴格的端口管理策略

3、設置防爆破策略

4、一鍵更新漏洞補丁

5、病毒木馬檢測

事中防御

1、通過對網絡內部主機的進程、會話、資源等指標參數進行監(jiān)測以發(fā)現異常的可疑行為。

2、結合威脅情報提供的遠控或高危黑IP,感知可能正在發(fā)生的攻擊事件

事后處置

1、隔離感染主機:已中毒計算機盡快隔離,關閉所有網絡連接,禁用網卡。

2、切斷傳播途徑:關閉潛在終端的SMB 445等網絡共享端口,關閉異常的外聯(lián)訪問。可開啟IPS和僵尸網絡功能進行封堵。

3、查找攻擊源:手工抓包分析或借助安全狗嘯天態(tài)勢感知平臺快速查找攻擊源,避免更多主機持續(xù)感染。

4、查殺病毒:推薦使用安全狗進行病毒查殺,快速分析流行事件,實現終端威脅閉環(huán)處置響應。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！