国家计算机病毒应急处理中心通过对互联网的监测发现了GandCrab勒索病毒的最新版本5.0.2,该病毒在最近一段时间更新换代速度很快。与其他勒索软件一样,该版本恶意程序的目标是加密受感染系统上的文件,然后对受害者进行勒索。开发人员需要的加密货币,主要是Dash,因为跟踪和快速接收赎金非常复杂。
该恶意软件通常是以打包形式出现的,但并不总是如此。研究人员已经发现.exe格式以及DLL的变体。
该恶意软件会尝试在HKEY_LOCAL_MACHINE的root密钥中创建这个新的值项。如果无法创建,例如,因为用户没有管理员权限,它就会将值项放在root密钥HKEY_CURRENT_USER中。文件加密后,在某些攻击中此值项就会被删除。
目前该恶意程序的常用攻击方式主要有安全性较弱或在地下论坛中购买的远程桌面连接;带有链接或附件的网络钓鱼电子邮件;下载并启动恶意软件的木马程序里包含的合法程序;利用RigEK和其他诸如FalloutEK之类的漏洞利用工具包;利用PowerShell脚本或PowerShell进程的内存和Phorpiex类似的僵尸网络等。
针对该恶意程序所造成的危害,建议用户安装安全防护软件,并将病毒库升级至最新版本。同时,从官方网站下载软件,以防止受到该恶意程序的影响,造成严重的损失。
|