1.病毒版本
近日,安恒应急响应中心在持续关注GANDCRAB勒索病毒传播情况时发现,目前该勒索病毒依然活跃,虽然病毒有多种传播方式,但主要还通过邮件附件传播较多,有伪装成*.jpg或*.bmp的可执行文件,有压缩打包*.js文件的,然后调用powershell下载加密程序,也有*.js直接释放的版本,还有利用Office宏下载vbs脚本再下载加密程序的等各种版本。
2.网络特征
病毒运行时会请求www.kakaocorp.link这个C2域名,如果局域网出口流量监测到有对该域名的请求,表示网络中可能有主机已中招,需要及时排查,不过病毒后续版本可能会更改成其他C2域名,请及时关注最新安全预警。
3.主机防御
建议在具有安全隔离的虚拟机系统中打开邮件附件,同时取消打勾“文件夹选项->查看->隐藏已知文件类型的扩展名”,这种状态下可看到文件实际扩展名,对*.jpg.exe、*.bmp.exe、*.js、*.vbs等可执行文件谨慎点击(点击即会运行)。
4.病毒样本
该勒索病毒目前是5.2版本,www.nomoreransom.org网站上可以找到针对V5.1之前部分版本的解密工具,但对5.2版本无效,一些5.2版本的样本在2018年8月编译,文件是韩文的.doc文档(例如:의제.doc),通过Office宏下载vbs脚本再下载加密程序,另一些JS直接释放的版本编译时间为2018年4月,VirusTotal中暂无记录。
5.安全建议
对于勒索病毒的通用防护方案是合理的备份系统文件(该病毒会通过vssadmin命令删除本机卷影副本,因此最好把文件备份到独立存储中),同时保持良好的在安全隔离虚拟机系统中运行邮件附件的习惯,也可以部署必要的安全防护软件拦截针对恶意加密行为的函数执行。