前言

GandCrab勒索病毒是最近一段時間較為流行的勒索病毒家族之一，當前其最新版本已經更新到5.0.1，在9月份我們發現GandCrab勒索病毒的傳播開始快速增長，不少Windows伺服器上的檔案被加密。目前該勒索病毒正透過多個已知漏洞進行傳播，其中在9月份還增加了對Fallout Exploit漏洞利用工具的使用。

圖1.GandCrab趨勢

傳播方式

目前GandCrab的常用傳播方式有：

• 偽裝正常軟體或捆綁在破解軟體中，誘導使用者下載
  
• 弱口令爆破（包括遠端桌面，phpStudy，VNC等）
  
• Apache Tomcat漏洞攻擊
  
• Jboss、WebLogic漏洞攻擊
  
• Struts漏洞攻擊
  

樣本最新變化

最新版本的勒索病毒，不再使用固定字尾，而是隨機的產生5個字元長度的字串作為檔案字尾名，並將字尾名寫入到SOFTWARE\keys_data\data登錄檔中。

圖2.GanCrab新增登錄檔

新增加對win10提權漏洞的利用（CVE-2018-0896）

圖3.GandCrab對win10提權漏洞利用

新增加使用PowerShell指令碼來執行加密操作。

圖4.GandCrab的PowerShell指令碼樣本

安全建議

使用上述環境的伺服器使用者，應及時更新伺服器使用的各類軟體，修復安全漏洞。360安全衛士可防禦此類攻擊，可安裝使用360安全衛士保護系統安全。下圖為360安全衛士日誌顯示，攔截到的此類攻擊：