-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
-
- 漏洞预警|泛微OA(e-cology)曝SQL注入漏洞
- Linux sudo提权漏洞风险预警
- WebLogic反序列化远程命令执行(CNVD-C-2019-48814)漏洞预警
- 漏洞预警|Apache HTTP服务组件曝提权漏洞,可获取服务器root权限
- 漏洞预警| Zimbra曝远程代码执行漏洞
- 病毒预警|GandCrab勒索病毒分析与应急处置指引
- 病毒预警|最新Globelmposter 3.0变种来袭,已有多家医院中招
- 漏洞预警|Apache Solr再曝远程代码执行漏洞(CVE-2019-0192)
- 漏洞预警|Chrome浏览器曝0day漏洞,打开PDF文件即泄露用户信息
- Linux包管理器snap曝本地提权漏洞
病毒预警|GandCrab勒索病毒分析与应急处置指引
时间:2019-03-13 11:57:09来源:信息安全服务部作者:梦之想科技
GandCrab勒索病毒是2018年勒索病毒家族中最活跃的一支,该勒索病毒首次出现于2018年1月,在将近一年的时候内经历了五个大版本的更新迭代。此勒索病毒主要通过暴力破解操作系统密码和垃圾邮件传播,使用RSA加密算法进行强加密,导致加密后的文件,无法被解密。
此病毒版本已经到V5.2。相比于之前的版本,病毒整体执行的功能没有太大变化。只是病毒代码内部使用的部分API函数字符串被加密,主要是为了对抗静态分析和杀软扫描。病毒仍然使用Salsa20加密文件,RSA算法加密Salsa20密钥,没有攻击者的RSA私钥无法解密文件,使用生成的随机后缀对加密后的文件进行命名。
GandCrabV5.2其主要传播方式为:
垃圾邮件传播;
网页挂马攻击;
RDP 和 VNC 爆破入侵;
U 盘、移动硬盘传播;
捆绑、隐藏在一些破解、激活、游戏工具中传播;
感染 Web/FTP 服务器目录传播。
主要传播端口:3389和445
病毒MD5: DE46B3B7F13F12769524755BB0A105FE
病毒分析
1、GandCrab5.2使用了代码混淆等技术,防止安全分析人员对样本进行分析。
2、该病毒加密后的文件扩展名为随机字符,其不仅加密本机文件,还会加密局域网共享目录中的文 件,加密完成后会修改被感染机器桌面壁纸,进一步提示用户勒索信息。
3、 该病毒会获取当前输入法和语言版本信息,如果发现是如下语言版本信息,病毒将会退出,避免加密主机中的文件:
4、勒索病毒信息提示:
解决方案
1、主机服务器防勒索:安装网防G01(www.gov110.cn)防护软件,开启登录密码防暴力破解功能,封禁主机135、139、445等暴露端口,关闭不必要的文件共享。
2、办公终端防勒索:及时安装杀毒软件,并且更新到最新,采用高强度的密码,避免使用弱口令密码,并定期更换密码。
3、个人防勒索:不要点击来源不明的邮件以及附件,请注意备份重要文档。
4、勒索后应急:勒索病毒加密后会将原文件删除,但操作系统只是删除了文件索引,文件实体还在,只是文件名被抹掉了。发现文档被加密后,不要对往原硬盘上再拷贝文件,马上外挂一个移动硬盘,对原操作系统做全盘数据恢复,在恢复的文件中检查是否有重要文件。
5、勒索病毒预防:登录网探D01(cii.gov110.cn)公有云平台,再应急处置模块中下载风险扫描和免疫专杀工具。
官方网址:www.gov110.cn
帮助文档:www.help.gov110.cn
重庆服务站联系电话:400-005-3389/189-1090-3777
全国服务400电话:400-010-4696