GandCrab勒索病毒最新版本索要1500美元 借合法程式當“跳板”

北京時間1月24日凌晨，360安全大腦監測到大批未打補丁的Weblogic服務端再次遭到漏洞攻擊。攻擊者入侵伺服器之後，透過合法應用程式Certutil.exe做跳板（Living off the Land技術），從木馬伺服器上下載勒索病毒GandCrab v5.1並在受害伺服器上執行。該勒索病毒會加密受害機器上超過400種型別的資料檔案並勒索1500美元。

圖1 攻擊者使用合法應用程式Certutil.exe下載勒索病毒

圖2 勒索資訊

360安全專家測試發現，24日凌晨其勒索頁面無法正常工作，但24日中午頁面已經恢復正常，對中招使用者勒索的贖金也上漲至1500美元，各位伺服器管理員應格外注意。

圖3 GandCrab勒索病毒支付引導頁面

GandCrab v5.1釋出於2019年1月17日，360安全衛士在1月18號捕獲到其在國內傳播，在釋出的前幾天並沒有很廣泛的傳播。相較之前的版本，GandCrab v5.1對其程式碼中的靜態字串進行加密處理，同時，還對檔案加密模組進行程式碼防護以對抗安全軟體的查殺和分析人員的分析。

圖4 GandCrab勒索病毒作者釋出的更新資訊

目前，360安全衛士無需升級就能夠攔截GandCrab v5.1勒索病毒。360安全專家建議，伺服器管理員應及時安裝補丁，修復伺服器系統、Web應用漏洞，使用強度高的伺服器登入口令與Web應用後臺登入密碼，防止攻擊者透過漏洞利用或弱口令爆破等方式攻擊伺服器。