cc 近日,某安全团队跟踪到多起GandCrab勒索病毒最新变种感染事件。由于感染主机桌面屏幕会被设置成为深蓝色,将该变种命名为GandCrab勒索DeepBlue变种。
该勒索变种使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景。目前该勒索暂时无法解密,提醒广大用户防范该勒索变种入侵感染。
病毒名称:GandCrab勒索DeepBlue变种
病毒性质:勒索病毒
影响范围:已有多省份用户受感染,包括但不限于政府、医药、教育等行业
危害等级:高危
传播方式:漏洞利用、RDP暴力破解等方式传播
GandCrab勒索DeepBlue变种在功能代码结构上与GandCrab非常相似,同时应用了多种反调试和混淆方式,且似乎还处于不断调试的阶段,变种使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景(标题题目会变化),具体勒索特征如下:
GandCrab勒索DeepBlue变种入侵方式呈现多样化,截至目前收集到以下入侵手段(不排除将来有更多入侵手段):
- 利用Confluence漏洞(CVE-2019-3396)
- RDP暴力破解
- FCKeditor编辑器漏洞
- WebLogic wls9-async反序列化远程命令执行漏洞
值得一提的是,该攻击者(团伙)近期活跃频繁,且惯用手法是利用多种可能存在漏洞传播勒索病毒来入侵用户终端,并且疑似在开发新型的勒索病毒家族变种。
解决方案
针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
