超强勒索病毒GandCrab再现新版5.3 躲避警方出新招
分类:彩世界彩票注册平台官网

彩世界彩票注册平台官网 1

修改桌面背景图片,显示勒索信息。

2、 打开瑞星解密工具

图:加密后的本机信息

2、 勒索信里面加密存储了与解密文件相关的信息,其它计算机的勒索信无法解密本机被加密文件,同样本机勒索信无法解密其它机器被加密的文件,因此需要勒索信和被加密文件对应。

1、不打开陌生或可疑邮件,不下载邮件附件。

6、 解密完成

图:删除卷影备份

彩世界彩票注册平台官网 2

图:瑞星ESM与瑞星之剑拦截查杀截图

Gandcrab是首个以达世币作为赎金的勒索病毒,用户中毒后文件无法打开,桌面背景图片被修改为勒索信息,同时桌面会自动生成一个勒索文档,向受害者勒索价值约1200美元的达世币赎金。由于GandCrab勒索病毒使用Salsa20算法加密文件,使用RSA算法加密密钥。因此想要解密文件,必须获得解密密钥。由于暗网的匿名性导致控制服务器较难追踪,因此大量受害者不得不通过交纳赎金才可以解密文件。

彩世界彩票注册平台官网 3

彩世界彩票注册平台官网 4

5、多台机器不使用相同密码。

1、 被加密文件未完全解密时,请勿删除被加密文件。

彩世界彩票注册平台官网 5

因为勒索信中存放了被加密的密钥

彩世界彩票注册平台官网 6

彩世界彩票注册平台官网 7

技术分析

彩世界彩票注册平台官网 8

彩世界彩票注册平台官网 9

彩世界彩票注册平台官网 10

使用RC4算法将获取到的本机信息加密,发送给控制服务器用于统计感染量。

彩世界彩票注册平台官网 11

图:被加密文件

7、 生成解密后的文件,并且保留被加密文件

彩世界彩票注册平台官网 12

图:Gandcrab勒索病毒

图:删除自身文件

注意事项

彩世界彩票注册平台官网 13

解密工具使用说明

彩世界彩票注册平台官网 14

选择一个存放被加密文件的文件夹路径

4、不使用弱口令密码。

4、 选择key文件,也就是勒索信

删除系统自带的卷影备份。

作为目前最活跃的勒索病毒之一,GandCrab已经感染了50多万名用户,并且还有持续爆发趋势。该病毒自2018年1月面世以来,短短一年内历经多次迭代更新,传播方式也变得更加多样。好消息是,目前瑞星最新开发出了该病毒的解密工具,可以对GandCrab勒索病毒V5.1版本及之前的被加密文件进行解密。

图:判断计算机语言

1、 由于密钥在Bitdefender的服务器上,因此解密文件时计算机需要联网查询。不方便联网的用户可以将被加密文件复制到可以联网的计算机中,勒索信也要一起复制。

近日,瑞星安全专家捕获到最新勒索病毒GandCrab 5.3变种,此版本延续了5.2版本的主要技术,用户一旦中毒文件将无法打开,同时桌面背景图片会被修改为勒索信息,需要交纳赎金才可解密。而此次5.3版本与之前最大的不同之处在于,攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金,这极有可能是为了躲避警方的追查。

3、 选择解密路径

加密时排除一些文件和文件夹,防止系统无法正常运行。

5、 点击解密,解密完成后会弹出提示信息

近日,瑞星安全专家捕获到最新勒索病毒GandCrab 5.3变种,此版本延续了5.2版本的主要技术,用户一旦中毒文件将无法打开,同时桌面背景图片会被修改为勒索信息,需要交纳赎金才可解密。而此次5.3版本与之前最大的不同之处在于,攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金,这极有可能是为了躲避警方的追查。

目前,病毒位于暗网的控制服务器已被找到,在获取到解密密钥后,瑞星利用密钥开发出了GandCrab勒索病毒的解密工具,帮助广大用户恢复被加密的文件。

瑞星公司提醒广大用户切勿点击陌生邮件,安装有效杀毒软件,以防被勒索病毒攻击。目前,瑞星所有个人及企业级产品均可对GandCrab 5.3勒索病毒进行查杀,瑞星之剑(下载地址:

彩世界彩票注册平台官网 15

文件的内容被Salsa20算法加密,文件名被追加上随机后缀。

在做好准备工作之后,病毒会创建线程开始加密文件。

6、安装杀毒软件及时更新病毒库。

图:修改桌面背景

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招彩世界彩票注册平台官网。图:获取的本机信息

2、浏览网页时不下载运行可疑程序。

彩世界彩票注册平台官网 16

彩世界彩票注册平台官网 17

彩世界彩票注册平台官网 18

彩世界彩票注册平台官网 19

图:遍历文件

图:勒索信息支付赎金方式改为邮件

彩世界彩票注册平台官网 20

瑞星安全专家分析攻击者此次修改的原因有两种可能,第一种是部分受害者不知道如何访问病毒作者留下的暗网地址,所以无法与病毒作者取得联系,导致无法缴纳赎金;另一种情况是GandCrab 5.2之前版本的解密密钥托管在暗网服务器中,被欧洲多国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是躲避追查。

防范措施:

解密出RSA公钥,此公钥和之前捕获的V5.2版本的公钥相同。

病毒会结束指定进程,防止文件被占用无法加密,主要是针对数据库和办公软件的进程。

图:排除指定文件

彩世界彩票注册平台官网 21

瑞星安全专家分析攻击者此次修改的原因有两种可能,第一种是部分受害者不知道如何访问病毒作者留下的暗网地址,所以无法与病毒作者取得联系,导致无法缴纳赎金;另一种情况是GandCrab 5.2之前版本的解密密钥托管在暗网服务器中,被欧洲多国警方合作追踪到了控制服务器,从而获取到了托管在服务器中的解密密钥,因此攻击者要求通过邮箱联系,可能是躲避追查。

图:解密出RSA公钥

遍历磁盘中的文件。

彩世界彩票注册平台官网 22

3、及时更新系统、漏洞补丁。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招彩世界彩票注册平台官网。图:查找指定进程

彩世界彩票注册平台官网 23

图:创建线程加密

图:修改后的桌面背景

加密完成后退出,并调用cmd删除自身文件。

超强勒索病毒GandCrab再现新版5.3 躲避警方出新招彩世界彩票注册平台官网。7、安装防勒索软件,防止未知病毒变种加密文件。

图:勒索信息支付赎金方式改为邮件

彩世界彩票注册平台官网 24

勒索病毒GandCrab 5.3运行后获取当前计算机语言,与病毒内置语言列表中的语言进行对比,如果本机语言在列表中则退出,不执行加密操作。

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息,追加上勒索版本V5.3。

本文由彩世界注册首页发布于彩世界彩票注册平台官网,转载请注明出处:超强勒索病毒GandCrab再现新版5.3 躲避警方出新招

上一篇:没有了 下一篇:没有了
猜你喜欢
热门排行
精彩图文