勒索軟件不可破解？誰在標(biāo)題黨

時(shí)尚是一個(gè)輪回，新聞也是。

最近，雷鋒網(wǎng)編輯在朋友圈看到一篇被傳閱的文章——《“俠盜病毒”已攻擊我國，不可破解，盡快防御！》?？纯催@標(biāo)題，這氣勢(shì)，儼然一個(gè)爆點(diǎn)。

打開文章，大意就是近日出現(xiàn)的一款名為 GandCrab V5.2 加密貨幣勒索病毒，似乎大有再現(xiàn) WannaCry “昔日榮光”的跡象，目前已在中國攻擊了數(shù)千臺(tái)政府以及企業(yè)的電腦。重點(diǎn)這個(gè)“地表最強(qiáng)”勒索病毒還不可破解。

但是怎么越看越熟悉？于是編輯翻了翻聊天記錄，從我們的選題群（沒錯(cuò)，大家就是這么的熱情努力）中發(fā)現(xiàn)了有關(guān)俠客病毒的另一篇文章，《放過敘利亞，不可破解的“俠盜病毒”來禍害中國了》內(nèi)容基本與上面那篇差不多，只不過這篇文章發(fā)布于3月19日。

兩篇文章前后相差幾乎一月，期間各大安全公司有沒有發(fā)表過相關(guān)預(yù)警文章？

搜索一下后發(fā)現(xiàn)真的有：

“俠盜病毒”志不在“俠”，XX強(qiáng)力查殺！

“俠盜病毒”并不可怕！XX1月前即可防御！

……

到底誰在標(biāo)題黨？

一方說這個(gè)病毒超牛X，超恐怖，無法呼吸。

另一方說這個(gè)病毒算what？看我強(qiáng)力查殺，一秒打趴。

再仔細(xì)一看，某幾家公司的確解密了 GandCrab 其他版本，只不過對(duì) GandCrab V5.2 確實(shí)沒辦法。

GandCrab 團(tuán)隊(duì)自誕生就伴隨著“俠盜光環(huán)”，除了技術(shù)高超，其“盜亦有道”，給贖金就解密的行事作風(fēng)也受到了“好評(píng)”，其中2018年發(fā)生的將敘利亞以及其他戰(zhàn)亂地區(qū)加進(jìn)感染區(qū)域白名單的操作更得了“俠盜”之名。

外界對(duì)這個(gè)神秘團(tuán)伙有過多種猜測，最主流的一種是病毒作者可能為俄羅斯人。因?yàn)?GandCrab 如果監(jiān)測到電腦系統(tǒng)使用的是俄語系語言，會(huì)停止入侵。

首次出現(xiàn)于2018年1月的 GandCrab 勒索病毒，在短短的一年多時(shí)間內(nèi)經(jīng)歷了多個(gè)版本的更新迭代。傳播感染方式多種多樣，使用的技術(shù)也不斷升級(jí)。電腦一旦被感染，病毒會(huì)對(duì)磁盤內(nèi)的文件進(jìn)行加密并提示支付贖金進(jìn)行解密。

GrandCrab V 5.2版本所使用的語言，主要是中文、英文以及韓文，說明這三國已經(jīng)成為其重要的攻擊目標(biāo)。根據(jù)國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測，GandCrab V5.2 自 2019 年 3 月 11 日開始在中國肆虐，攻擊了上千臺(tái)政府、企業(yè)以及相關(guān)科研機(jī)構(gòu)的電腦。

據(jù)星球日?qǐng)?bào)報(bào)道，GandCrab V5.2 主要通過郵件形式攻擊。

攻擊者會(huì)向受害人郵箱發(fā)送一封郵件，主題為“你必須在 3 月 11 日下午 3 點(diǎn)向警察局報(bào)到！”，發(fā)件人名為“Min，Gap Ryong”，郵件附件名為“03-11-19.rar”。

一旦受害者下載并打開該附件，GandCrab V5.2 在運(yùn)行后將對(duì)用戶主機(jī)硬盤數(shù)據(jù)全盤加密，并讓受害者訪問特定網(wǎng)址下載 Tor 瀏覽器，隨后通過 Tor 瀏覽器登錄攻擊者的加密貨幣支付窗口,要求受害者繳納贖金。

除此之外， GandCrab V5.2 還可能通過 RDP 和 VNC 擴(kuò)展攻擊影響更多電腦，還有可能利用 CVE-2019-7238(Nexus Repository Manager 3 遠(yuǎn)程代碼執(zhí)行漏洞)  以及 weblogic 漏洞進(jìn)行傳播。

每每勒索病毒爆發(fā)后都會(huì)各種標(biāo)題黨，有的說“不可破解”，有的說“已被破解”。到底破沒破？還真不一定，瑞星副總裁唐威表示，絕大多數(shù)勒索病毒加密文件后都不能恢復(fù)。

如果針對(duì)勒索病毒威脅程度，進(jìn)行星級(jí)分類：

★ ：沒有加密文件，只設(shè)置開機(jī)密碼或者M(jìn)BR密碼等；

★★ ：加密文件，使用對(duì)稱算法，并且密鑰硬編碼在程序中，可輕松解密文件；

★★★ ：加密文件，使用對(duì)稱算法，理論上可以解密，但是由于各種原因，例如本地不存儲(chǔ)密鑰，密鑰上傳到攻擊者服務(wù)器等，無法獲取密鑰；

★★★★: 加密文件，使用非對(duì)稱算法在沒有攻擊者的私鑰的情況下無法解密；

★★★★★: 除上述威脅外，具有蠕蟲傳播功能，會(huì)感染網(wǎng)絡(luò)中的其它機(jī)器。

三顆星（包括三星）以上的勒索病毒加密文件后一般可以進(jìn)行恢復(fù)，高于三星、采用非對(duì)稱加密算法的勒索病毒基本無法恢復(fù)。

至于同樣使用了非對(duì)稱加密算法的 GandCrab V5.1為什么也可以恢復(fù)，是因?yàn)榱_馬尼亞警方抓到了病毒作者，找到了病毒位于暗網(wǎng)的控制服務(wù)器并獲取了解密密鑰。于是，各大安全公司利用密鑰開發(fā)出 GandCrab 勒索病毒的解密工具，幫助用戶恢復(fù)被加密文件。

慘還是用戶慘，資料被鎖就算了，遇到不”俠盜“的黑客團(tuán)伙，交了贖金可能也找不回資料。更何況還有些渾水摸魚的騙子公司打著可以破解勒索病毒的稱號(hào)收錢斂財(cái)。

所以，對(duì)于用戶來說，備份比什么都管用。同樣，安全專家也給出了一些應(yīng)對(duì) GandCrab V5.2 的建議：

1. 不要打開來歷不明的郵件附件；

2. 及時(shí)安裝主流殺毒軟件，升級(jí)病毒庫，對(duì)相關(guān)系統(tǒng)進(jìn)行全面掃描查殺；

3、啟用防火墻，關(guān)閉445、135、139等不必要的端口，不要在公網(wǎng)上直接暴露遠(yuǎn)程桌面服務(wù)(RDP，默認(rèn)監(jiān)聽端口3389)，如運(yùn)維需要，確保只能登錄VPN后才能訪問；
4、相關(guān)服務(wù)器設(shè)置符合密碼復(fù)雜度要求的強(qiáng)口令，有條件的客戶應(yīng)部署應(yīng)用防火墻或者漏洞掃描設(shè)備，及時(shí)發(fā)現(xiàn)和阻止通過漏洞進(jìn)行的攻擊；
5、盡快備份數(shù)據(jù)并定期進(jìn)行備份；
6、部署優(yōu)炫操作系統(tǒng)增強(qiáng)系統(tǒng)用于主機(jī)加固抵抗勒索病毒。

7、對(duì)已感染主機(jī)或服務(wù)器采取斷網(wǎng)措施，防止病毒擴(kuò)散蔓延。

雷鋒網(wǎng)參考來源：星球日?qǐng)?bào)

雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。