网警
网络与信息安全通报2月
发布:桂林市公安局    时间:2019/2/4 9:43:45

关于新型GandCrab勒索病毒传播的预警通报

 

近期,在国内发现了一种新型的勒索病毒变种,已有多个感染案例,危害等级为高危,确认为GandCrab勒索病毒家族的最新版本GandCrab5.1,市公安局网安支队已在我市发现该病毒感染案例。本次发现的GandCrab5.1勒索病毒变种入侵以RDP(远程桌面协议)爆破为主,通过人工入侵和手工投毒,专门攻击数据库服务器,主要采用RSA+AES相结合的加密算法,导致加密后的文件,无法被解密。中毒服务器文件加密后缀为随机名字,相对于GandCrab早期的版本,GandCrab5.1版本同样采用了静态对抗反汇编的方法,阻止安全分析人员对样本进行静态分析。该勒索病毒获取主机的相关信息加密之后,上传到远程服务器。相应的远程服务器地址为:www.kakaocorp.link

鉴于该勒索病毒危害程度高,影响较大,各行业、部门要及时警示本部门、本行业网站和系统用户,及时安装系统补丁,消除安全隐患,提高安全防范能力。同时,请各单位及时对本单位的系统安全情况进行自查,消除安全隐患,提高安全防范能力,发现系统设备感染和遭攻击情况及时向公安机关报告。

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离,保存好系统日志等相关记录和证据,及时向公安机关报告,并采取以下措施:

一是进行病毒检测查杀:可下载免费提供查杀工具,进行检测查杀。(http://edr.sangfor.com.cn/tool/SfabAntiBot.zip)

二是做好病毒防御:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的弱口令密码。

           6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,对3389等端口进行封堵,防止扩散!