GandCrab V5.2勒索病毒针对我国政府部门,要求通过Tor浏览器支付赎金

        2019-03-14 93923人围观 ,发现 3 个不明物体 资讯

        2019年3月13日,宜昌市夷陵区人民政府官网发布公告《关于防范勒索病毒 GANDCRAB 攻击 的预警通报》称,近期有境外黑客组织对我国有关政府部门发起了勒索病毒邮件攻击,勒索病毒版本号为GANDCRABV5.2。

        social-image.jpg

        GandCrab 勒索病毒是2018年勒索病毒家族中最活跃的家族,在一年的时间里经历了五个大版本的更新,而在2019年2月份继续升级到了 GandCrab V5.2,根据国家网络与信息安全信息通报?#34892;?#30417;测发现,这次攻击事件从2019年3月11日就已经有了动?#30149;?/p>

        1552528827_5c89b5bb4256c.jpg

        受害者邮箱会收到一封邮件,标题为“你必须在3月11日下午3点向警察局报到!”邮件内容则是一个以日期命名的 rar 格式压缩包。

        1552528865_5c89b5e16ebc5.png

        2.jpg

        而根据捕获的样本来看,压缩包中的伪装文件并不大一样,有的是乱码的exe可执行文件,也有用“XXX.doc .exe”这?#32844;?#21547;多个空格,以此?#27425;?#35013;成word文件的,也有直接伪装成PDF文件的,花样繁多。

        1552529130_5c89b6ea7c006.jpg

        只要受害者警惕性低的情况下打开了病毒文件,结果都只有一个。电脑中文件被?#29992;埽?#24182;随即添加文件后缀,并“贴心地”告诉你如何如何支付赎金。

        攻击者要求受害者下载Tor浏览器,通过浏览器打开特定的页面,例如上图所展示的暗网地址是:http://gandcrabmfe6mnef.onion/2f7a3eb776b9c9c2。

        WX20190314-144936@2x.png

        该地址打开之后,要求用户查找并上传 -DECRYPT.txt 或 -MANUAL.txt文件,才能进行下一步支付赎金操作。

        GandCrab勒索病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件传播,该病毒由于使用了RSA+Salsa20的?#29992;?#26041;式。无法拿到病毒作者手中私钥常规情况下无法解密。而针对这次病毒样本,腾讯御见威胁情报?#34892;?#22312; FreeBuf 专栏发布了详细的分析:

        勒索病毒GandCrab5.2预警:冒充政府机关进行鱼叉邮件攻击

        http://www.10.gov.cn/content-638-521871-1.html

        2.*本文作者:shidongqi,转载请注明来自FreeBuf.COM

        发表评论

        已有 3 条评论

        取消
        Loading...

        填写个人信息

        姓名
        电话
        邮箱
        公司
        行业
        职位
        css.php 永利彩票是骗局吗