最近听说又爆发了一种勒索病毒,人称GandCrab V3.0。有没有人和我一样觉得这名字似曾相识,好像在梦里见过它。对,你没记错,名叫GandCrab的病毒已经相继爆发四次了,虽然每次的病毒都本是同根生,但又都各有不同。下面梳理一下GandCrab病毒的前世今生,并且会提供解决方法对付勒索病毒。
GandCrab初代
今年年初国外网络安全专家发现了一种新型的勒索病毒,在虚拟货币盛行的今天,网络勒索病毒层出不穷,GandCrab在众多病毒中“脱颖而出”引起各界关注。有趣的是,这种病毒之所以引人注目有很大一部分原因是因为它的赎金。不同于其他勒索病毒提出的比特币,门罗币等赎金要求,GandCrab非常有个性地要求受害者以达世币作为赎金来解救已被加密的文件。
有分析人士称病毒开发者的此种做法很有可能是基于达世币本身的隐匿性。达世币是一种支持即时交易、以保护用户隐私为目的数字货币。它基于比特币,但更具匿名性,使得交易无法被追踪查询。没想到此币种的优点竟成为了病毒制造者利用的弱点,这种性质让安全专家也觉得很头疼。
初代的Gandcrab以挂马病毒的方式隐藏在网页中,用户点击后就有可能中招。Gandcrab加密电脑中的文件后会在文件名后加上.GDCB后缀,并向受害者索要1.54达世币作为赎金(病毒爆发时约为1200美刀)。
图1:GandCrab赎金勒索界面
再次病毒第一次爆发后,国内的疫情比较严重,被黑页面涉及景区、交通等社会服务网点,影响极广。幸运的是,国内的360安全团队针对此种病毒及时地进行了解密并且提供了解决方案,使得疫情尽快得到了控制。
GandCrab V2.0 病毒二代目
在第一代GandCrab病毒爆发被解决后不久,国内又爆发了第二次GandCrab V2.0病毒。这次它的伪装手段从挂马变成了字体更新程序。想象一下,当你打开一个邮件或是一个网页的时候,发现所有的文字都是乱码,这时候,一个窗口提醒你下载字体更新程序,你会不会毫不犹豫就下载了?甚至会以为安全软件弹出的警告是误报?如果是,那么恭喜你要中招了。很多无辜的人都上了病毒制造者的当,成了病毒的祭品。
病毒二代目除了伪装手段不同还改变了被锁文件的后缀。中了GandCrab V2.0病毒后用户的文件会被加上.CRAB的后缀。这次的病毒仍然向受害者索要达世币作为赎金,如果不想被病毒制造者吸血的话,最靠谱的办法还是提前安装安全软件,并且相信安全软件的安全提醒。
GandCrab V2.1 病毒三代目
消停了没多久,GandCrab就又变着法的卷土重来了。今年四月国外安全研究人员再次发现了GandCrab勒索病毒的最新变种,并且命名其为GandCrab V2.1。
研究人员发现此次的病毒变种利用了RSA1024加密算法,将系统中的大部分文档文件加密为.GRAB后缀的文件,然后对用户进行勒索。这个再次变种后的勒索病毒主要通过邮件、漏洞、垃圾网站挂马等方式进行传播,但好在其不具备横向感染的能力,不会对同一个局域网内的其他设备进行攻击。
可能是GanCrab的病毒制造者发现只通过达世币这种相对小众的币种不足以赚到足够多的钱,这次的勒索病毒开始接受比特币和达世币作为赎金。
图2:GandCrab V2.1赎金勒索界面
GandCrab V3病毒四代目
一波未平一波又起,终于,就在昨天这个病毒又来了。虽然名字叫GandCrab V3,但这已经是GandCrab病毒的第四次变种了。经历了前三次后病毒制造者这次选择利用CVE-2017-8570漏洞来传播病毒。同时,本次病毒跟上了“韩流”,漏洞触发后会显示“”(韩语” 你好”)的文字内容来诱导受害者。
这次的病毒学得更聪明了,不仅没有规定受害者交赎金的币种,还要求受害者通过Tor网络或者Jabber即时通讯软件与其取得联系,进而沟通勒索条件。这种方法加大了受害者交赎金的几率也加大了追查的难度。
俗话说坏人不可怕,就怕坏人有文化,如今威胁最大的是病毒制造者有了商业头脑。国内已经出现了勒索病毒的产业链,有人开始在网络上传播勒索病毒生成器。这种行为很有可能导致病毒的大规模爆发。
图4:网上流传的勒索病毒生成器
还有一点儿,看下去你就知道怎么对付勒索病毒了
网络安全问题已经被社会各界各种媒体强调很多次了,但是针对越来越严峻的网络安全形势,360安全团队还是要啰嗦几句:
所谓好奇害死猫,广大网友请千万不要对陌生的网站,广告,邮件等等产生过于旺盛的好奇心,这些很有可能是犯罪分子设下的陷阱,就等着你的点击。
不要对安全软件给出的安全提示置之不理,有些时候病毒会隐藏在正常的文件中,千万别上当。我们保证安全软件在大多数情况下给出的安全提醒都是正确的。
对于大多数勒索病毒,360文档解密都是可以帮受害者找回文件的。为了预防突发的新型勒索病毒,广大用户还是需要安装360安全卫士,在中招之前就让我们把病毒扼杀在摇篮里。