GandCrab勒索病毒是2018年勒索病毒家族中最活跃的一支，该勒索病毒首次出现于2018年1月，在将近一年的时候内经历了五个大版本的更新迭代。此勒索病毒主要通过暴力破解操作系统密码和垃圾邮件传播，使用RSA加密算法进行强加密，导致加密后的文件，无法被解密。

此病毒版本已经到V5.2。相比于之前的版本，病毒整体执行的功能没有太大变化。只是病毒代码内部使用的部分API函数字符串被加密，主要是为了对抗静态分析和杀软扫描。病毒仍然使用Salsa20加密文件，RSA算法加密Salsa20密钥，没有攻击者的RSA私钥无法解密文件，使用生成的随机后缀对加密后的文件进行命名。

GandCrabV5.2其主要传播方式为：

• 垃圾邮件传播；

• 网页挂马攻击；

• RDP 和 VNC 爆破入侵；

• U 盘、移动硬盘传播；

• 捆绑、隐藏在一些破解、激活、游戏工具中传播；

• 感染 Web/FTP 服务器目录传播。

主要传播端口：3389和445

病毒MD5: DE46B3B7F13F12769524755BB0A105FE

病毒分析

1、GandCrab5.2使用了代码混淆等技术，防止安全分析人员对样本进行分析。

2、该病毒加密后的文件扩展名为随机字符，其不仅加密本机文件，还会加密局域网共享目录中的文 件，加密完成后会修改被感染机器桌面壁纸，进一步提示用户勒索信息。

3、 该病毒会获取当前输入法和语言版本信息，如果发现是如下语言版本信息，病毒将会退出，避免加密主机中的文件：

4、勒索病毒信息提示：

解决方案

1、主机服务器防勒索：安装网防G01（www.gov110.cn）防护软件，开启登录密码防暴力破解功能，封禁主机135、139、445等暴露端口，关闭不必要的文件共享。

2、办公终端防勒索：及时安装杀毒软件，并且更新到最新，采用高强度的密码，避免使用弱口令密码，并定期更换密码。

3、个人防勒索：不要点击来源不明的邮件以及附件，请注意备份重要文档。

4、勒索后应急：勒索病毒加密后会将原文件删除，但操作系统只是删除了文件索引，文件实体还在，只是文件名被抹掉了。发现文档被加密后，不要对往原硬盘上再拷贝文件，马上外挂一个移动硬盘，对原操作系统做全盘数据恢复，在恢复的文件中检查是否有重要文件。

5、勒索病毒预防：登录网探D01（cii.gov110.cn）公有云平台，再应急处置模块中下载风险扫描和免疫专杀工具。

官方网址：www.gov110.cn

帮助文档：www.help.gov110.cn

重庆服务站联系电话：400-005-3389/189-1090-3777

全国服务400电话：400-010-4696