近日，騰訊智慧安全御見威脅情報中心監(jiān)測，發(fā)現GandCrab勒索病毒家族已升級到5.0版本，利用多種方式重點針對企業(yè)網絡進行攻擊傳播，一旦企業(yè)信息系統(tǒng)遭遇攻擊，將暫時無法解密。被攻擊的企業(yè)用戶若沒有及時對重要系統(tǒng)數據進行備份，會遭受不可逆轉的損失，網絡安全受到嚴重威脅。

據騰訊智慧安全技術安全專家介紹，目前捕獲的GandCrab勒索病毒5.0版PayLoad使用PowerShell解碼并最終注入到PowerShell進程中執(zhí)行，主要變化在于加密文件擴展名后綴隨機生成5位英文字符。同時該病毒完成加密后會修改用戶桌面壁紙，以此進一步提示用戶勒索信息。目前，GandCrab勒索病毒5.0版的勒索金額也水漲船高，由此前的499美元提升到了998美元，漲幅接近一倍。

(圖：要求受害者支付998美元的比特幣或達世幣來購買解密工具)

作為2018年最為活躍的勒索病毒家族之一，GandCrab勒索病毒從年初出現至今已完成5次大版本升級，利用Seamless惡意廣告軟件、水坑攻擊、郵件傳播、GrandSoft漏洞利用工具包等多種方式進行傳播，同時其變種更新速度快，平均每兩個月完成一次變種，威脅用戶的網絡安全。

分析發(fā)現，在局域網內部，勒索病毒GandCrab 5.0通過感染U盤、硬盤壓縮文件、網頁目錄傳播，局域網內爆破VNC 5900端口、RDP3389弱口令傳播，安全措施不足的企業(yè)內網將受到沖擊。例如，該病毒會感染U盤、移動硬盤，并配置自動播放模式傳播，在其他電腦插上已染毒U盤時病毒程序得以自動運行。而硬盤Web目錄受到感染后，會用病毒程序覆蓋該目錄下的EXE文件。如果該目錄被發(fā)布到網站，下載程序的電腦就可能中毒，利用RigEK、FalloutEK漏洞工具包，進行網頁掛馬攻擊等。值得一提的是，和以往的版本一樣，GandCrab 5.0勒索病毒檢測到系統(tǒng)為俄語版本或多個俄語系國家時，會停止運行，并刪除自身。

就目前來看，GandCrab勒索病毒家族對企業(yè)和個人用戶均會造成嚴重的威脅。二者的區(qū)別在于遭遇勒索病毒之后，個人用戶會可以選擇重裝系統(tǒng)，但企業(yè)用戶一旦“中招”將會蒙受重大損失，部分沒有可靠備份系統(tǒng)的企業(yè)，往往會被勒索成功。

為避免此類攻擊事件再次發(fā)生，騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大企業(yè)網管，建議修改管理后臺默認頁面路徑，設置白名單限制登錄，修改弱口令密碼，避免服務運行高權限;盡量關閉不必要的端口，對3389端口可進行白名單配置;采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼。建議服務器密碼使用高強度且無規(guī)律密碼，并且強制要求每個服務器使用不同密碼管理。

(圖：企業(yè)級產品騰訊御點)

同時，馬勁松建議終端以及服務器部署專業(yè)安全防護軟件，例如在Web服務器部署騰訊云等具備專業(yè)安全防護能力的云服務，全面增強企業(yè)網絡抵御攻擊威脅的能力，以及在全網安裝御點終端安全管理系統(tǒng)。御點終端安全管理系統(tǒng)具備終端殺毒統(tǒng)一管控、修復漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內網安全狀況、保護企業(yè)安全。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。