【勒索病毒預警】GandCrab勒索病毒更新至V5.2，影響范圍甚廣

曾經在短短兩個月時間內讓犯罪分子獲利近60萬美元的勒索病毒GandCrab V5.1在北京時間2月19日已升級到V5.2版本，病毒此次更新主要是為了應對V5.1版本密鑰泄露問題，更換了加密使用的主密鑰，同時升級后的病毒開啟了新的傳播方式。截止目前，已有相當部分用戶遭受GandCrab V5.2勒索病毒的攻擊，望廣大網民予以重視。

病毒描述 Gandcrab是首個以達世幣（DASH）作為贖金的勒索病毒，用戶中毒后文件無法打開，桌面背景圖片被修改為勒索信息，同時桌面會自動生成一個勒索文檔，向受害者勒索價值約1200美元的達世幣贖金。由于GandCrab勒索病毒使用Salsa20算法加密文件，使用RSA算法加密密鑰。因此想要解密文件，必須獲得解密密鑰。由于暗網的匿名性導致控制服務器較難追蹤，因此大量受害者不得不通過交納贖金才可以解密文件。 相比于之前的版本V5.1，V5.2整體執行的功能沒有太大變化。只是病毒代碼內部使用的部分API函數字符串被加密，主要是為了對抗靜態分析和殺軟掃描。病毒仍然使用Salsa20加密文件，RSA算法加密Salsa20密鑰，沒有攻擊者的RSA私鑰無法解密文件，使用生成的隨機后綴對加密后的文件進行命名。 GandCrab勒索病毒家族在國內傳播廣泛，已經感染了50多萬名用戶，并且還有持續爆發趨勢，可使用U盤蠕蟲、下載器、遠程桌面爆破、永恒之藍漏洞等各種方式傳播，而這次病毒傳播者又開啟了掛馬傳播技能，對個人用戶危害嚴重！ 在2019年，GandCrab又開啟新傳播方式——利用網頁掛馬進行傳播。掛馬站點在色情站點投放廣告，利用色情站點跳轉掛馬頁面實施攻擊。本次主要利用了Fallout Exploit Kit工具，Fallout Exploit Kit近期做過一次更新，添加了對CVE-2018-4878（Adobe Flash Player漏洞）、CVE-2018-8174（Windows VBScript引擎遠程代碼執行漏洞）的漏洞利用。

傳播方式 通過遠程桌面入侵、郵件、漏洞、垃圾網站掛馬等方式傳播，不具備內網傳播能力。

病毒防御 1、及時更新系統補丁，防止受到漏洞攻擊； 2、對重要的數據文件定期進行異地備份； 3、從正規（官網）途徑下載需要的軟件； 4、不要打開來源不明的郵件鏈接及附件； 5、盡量關閉不必要的文件共享服務和遠程桌面服務； 6、修改計算機賬戶密碼為強密碼，避免使用通用密碼； 7、安裝可靠的殺毒軟件，及時升級病毒庫； 8、尋找可靠的數據恢復團隊進行解密。