勒索病毒GandCrab 5.0来袭

       在2017年WannaCry席卷全球后，2018年勒索病毒依然猖獗。从年初扰乱医疗行业信息安全秩序的GlobeImposter变种开始，GlobeImposter、Satan、Gandcrab已经成为2018年最流行的勒索病毒。GlobeImposter、Satan、Gandcrab对比分析如下：近期频繁爆出的Gandcrab从2018年1月开始已出现5个大版本，10月初出现V5.0.2、V5.0.3等。与以往大批量主机感染勒索病毒不同的是，近期勒索病毒似乎有目地的指向中间件服务器，扩散的方式也包括利用tomcat、jboss、weblogic等的漏洞。且随着Gandcrab与RAAS（Ransomware-as-a-Service勒索即服务）的结合，形成一条“产销链”，勒索病毒短时间内不会衰弱。

       勒索病毒密钥被公开无非三种可能：一是破解勒索程序得到，前提是勒索程序本身存在漏洞；二是勒索者公开，前提是勒索者对受害人感到愧疚、同情等极端情况；三是执法机构获得勒索者的服务器，同时服务器上存储着密钥且执法机构选择公开。Gandcrab 1、4、5版本中的部分已被公开，可到国际刑警组织反勒索病毒网（https://www.nomoreransom.org/zh/index.html）获得。

       尽管部分勒索病毒可以破解，但勒索病毒在不断变种更新，新版本很快会取代旧版本，做好防御措施才是硬道理。通常对勒索病毒的防御需在事前做好，在发现感染而未加密时，处理足够及时也是能拯救数据的。科兰美轩信息科技公司经过与勒索病毒大量的斗争经验，得到主机层面的日常加固和应急处置多方面的措施总结，现归纳如下： 

一、日常加固

      日常加固可以概括为修复漏洞、修改弱口令、关闭非必要端口/服务、数据备份、不下载不明来源文件以避免下载恶意程序。

(1)防暴破：配置密码策略，限制服务器口令的长度、复杂度，并定期更换，配置登录失败处理功能，防止账户口令被暴力破解；

(2)修改弱口令：和以往勒索病毒以利用永恒之蓝等漏洞为主不同的是，近期的GlobeImposter、Gandcrab等勒索病毒以爆破RDP（远程桌面协议）等服务弱口令为主，所以应立即修改弱口令、空口令、多台服务器共用的重复口令；

(3)修复漏洞：虽然许多勒索病毒利用了0day漏洞，但是病毒大量爆发时期通过打好官方已发布的漏洞补丁还是关键的防御措施；

(4)关闭非必要端口/服务：关闭非必要的135、139、445、3389等端口或限制其访问地址，防止感染病毒和被病毒源感染；

(5) 恶意程序防护：通过可靠的终端防护产品查杀并主动防御恶意程序；传统杀毒软件通过规则库查杀，而大部分勒索病毒的特征都可以pass一些杀毒软件，推荐采用“终端检测与响应”等更为有效的解决方案。

      推荐使用科兰美轩数据安全卫士管理系统软件，以终端检测与响应为解决方案，实现上述加固内容。

二、应急处置

       对于已感染勒索病毒但数据未被加密的主机，以控制扩散、病毒隔离、系统加固三步为主，来遏制病毒扩散和爆发。

(1)控制扩散：已加密主机断网隔离，已感染未加密主机断网，疑似感染主机关闭135、139、445、3389等不必要的高危端口；

(2) 病毒隔离：使用可靠（具备防护已知、未知勒索病毒能力）的终端安全产品，查杀病毒,对于能不断自我复制的病毒能够阻断其再生并免疫；