压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

還記得 2017 年 5 月，影響全球的 WannaCrypt 嗎？在當時，全球超過 230,000 臺計算機皆遭此病毒侵害，雖然此病毒要求支付價值等同于 300 美元的比特幣才可解密所有遭加密的文檔，但事實上，并無法通過付款的方式解密。 WannaCrypt 是通過 Windows 操作系統的漏洞，以蠕蟲方式進行傳播擴散，微軟也因為這個事件，破例對當時已停止技術支持的 Windows XP 釋出修補程序。這個事件是一個經典案例，也讓許多人見識到了勒索軟件的破壞力。

好一陣子，勒索軟件的音量，似乎在各種流行的信息安全威脅中顯得小了，勒索軟件是否就此絕跡？抑或風險有趨緩的現象？觀察 GandCrab 的演化史，或許能給出一些客觀的答案。

GANDCRAB簡史

GandCrab 第一次被大眾關注是在 2018 年 1 月，由羅馬尼亞的安全公司 Bitdefender、羅馬尼亞警政署、歐洲刑警組織連手揭露了這個惡意勒索軟件，并且很快地，就由 Bitdefender 安全工程師根據 GandCrab 的加密缺陷，破解并釋出了免費解密工具，這是 GandCrab 1.0。

但這個勒索病毒的開發者十分積極，很快地在同年的 3 月 5 日、 5 月 3 日先后釋出了 GandCrab 的 2.0 與 3.0 版本。2.0 版本增加了 QR code 功能，而 3.0 在感染后將病毒加為開機執行項目，并強制關機，下一次開機時會造成操作系統變慢或進不了操作系統，成功進入操作系統后則出現黑屏，并提示受害者已遭勒索軟件感染。 2018 年 7 月，GandCrab 進化至 4.0 版本，增加了許多提示受害人付錢的說明，以及 Tor 通道，并開始提供一個文檔免費解密的驗證服務。9 月時， 5.0 版面世， GandCrab 開發團隊與供應惡意軟件加密工具（ Crypter ）的組織 NTCrypt 結盟，并舉辦折扣活動，提供購買解密 GandCrab 的客戶。而 GandCrab 最新版是 2019 年 2 月 19 日左右所推出的 5.2 版。

GandCrab 在網絡上還有一個軼聞，說是一個在敘利亞的父親不幸感染了 GandCrab 后，再也不能看到他因戰爭而喪身的兒子照片，由于這個父親在推特上發文說出了這個情況， GandCrab 的制造者看到隨即發了道歉文，并釋出解密密鑰后，又更新了 GandCrab 版本，將敘利亞地區列為不受感染的白名單，因為這個事件，開始有人對此惡意軟件心生好感，并稱其為“俠盜”。事實上，該事件中的父親本不該遭此一劫；而放過敘利亞，荼毒其他國家也非正義！去認同加害者的觀點和想法，并不理性，這是典型的“斯德哥爾摩癥候群”。

傳播

事實上， GandCrab 每個版本間的變化并不是太大，但是它的傳播渠道極為多元。在最初的版本， GandCrab 主要用 RIG ExploitKit 和 GandSoft ExploitKit 兩個開發工具包進行分發，進行水坑式攻擊( Watering hole )或路過式下載( Drive-by download )：攻擊者嘗試制作出網頁亂碼，以解決頁面亂碼之由，誘導受害者下載由 GandCrab 偽裝的字體更新進行感染；或喬裝成軟件破解文件、正版商用軟件之類，誘騙受害者執行 GandCrab。

后續版本則擴張到使用暴露于網絡上的遠程桌面、僵尸網絡、滲透工具、經由木馬程序挾帶的做法。而 5.0.2 版，開始大量利用釣魚郵件，觸發后以 PowerShell 執行腳本，埋藏在內存內暗中運作，并會在受害者計算機中嘗試利用 CVE-2018-8440 以及 CVE-2018-8120 漏洞進行提權。

(通過電子郵件發送 GandCrab v5.1 版的前導攻擊惡意文件。)

(日本地區常見的 GandCrab 惡意郵件攻擊主題統計，除了圖示外，還有許多女星的名字。引用自 Twitter@gorimpthon。)

至于流行的地區，則可說全球都有其蹤跡，亞洲地區受害者最多的國家是南韓，其次為中國。但某些操作系統雖觸發了 GandCrab 這個勒索軟件，但因為這個勒索軟件內建操作系統語系白名單的緣故，只要是使用該白名單語系的操作系統，就不會進行后續的加密程序，這些白名單的操作系統語系分別為：俄羅斯、烏克蘭、比利時、塔吉克、亞美尼亞、阿塞拜疆、喬治亞、吉爾吉斯坦、土庫曼、烏茲別克、韃靼斯坦、敘利亞、阿拉伯等。

感染的兩三事

當 GandCrab 被觸發后，首先它會將它自己復制到%AppData%\Microsoft\[RANDOM NAME]，接下來查找下列應用程序，并嘗試將它們關閉：msftesql.exe、sqlagent.exe、sqlbrowser.exe、sqlservr.exe、sqlwriter.exe、oracle.exe、ocssd.exe、dbsnmp.exe、synctime.exe、mydesktopqos.exe、agntsvc.exeisqlplussvc.exe、xfssvccon.exe、mydesktopservice.exe、ocautoupds.exe、agntsvc.exeagntsvc.exe、agntsvc.exeencsvc.exe、firefoxconfig.exe、tbirdconfig.exe、ocomm.exe、mysqld.exe、mysqld-nt.exe、mysqld-opt.exe、dbeng50.exe、sqbcoreservice.exe、excel.exe、infopath.exe、msaccess.exe、mspub.exe、onenote.exe、outlook.exe、powerpnt.exe、steam.exe、thebat.exe、thebat64.exe、thunderbird.exe、visio.exe、winword.exe、wordpad.exe。接著，它會嘗試向外聯機至內建的上千個獨立主機列表，聯機成功后，它會開始進行感染主機的加密。

勒索軟件的目標是取財，未避免受害人的計算機完全不能用或無法聯機付錢解鎖的網頁， GandCrab 會避開這些文件夾不加密：All Users、Local Settings、Program Files、ProgramData、Tor Browser；會避開這些擴展名不加密：.bat、.cab、.cmd、.cpl、.cur、.diagcab、.diagpkg、.dll、.drv、.exe、.hlp、.icl、.icns、

.ico、.ics、.idx、.key、.ldf、.lnk、.lock、.mod、.mpa.msc、.msp、.msstyles、.msu、.nomedia、

.ocx、.prf、.rom、.rtp、.scr、.shs.spl、.sql、.sys、.theme、.themepack、autorun.inf、boot.ini、bootsect.bak、desktop.ini、iconcache.db、ntuser.dat、ntuser.dat.log、thumbs.db、.gandcrab；為避免受害人付了錢無法解密， GandCrab 也會避免再次加密過去已被它加密的文檔，因此會避開遭到感染的擴展名如：.CRAB、.KRAB。

完成加密后，會在每個遭到加密的數據，依不同的 GandCrab 版本，放置一個對應的說明文件，如： GDCB-DECRYPT.txt，或是 KRAB-DECRYPT.txt，文件的內容就是告訴受害者現在所遭遇的狀況，以及提供可以付款解密的渠道。遭到加密的文檔，依 GandCrab 版本的不同，有不一樣的擴展名： 1.0 被加密的文檔擴展名為.GDCB；v2.0、3.0 擴展名為.CRAB；4.0是.KRAB；5.0 以后版本，其擴展名為 5-10 碼隨機字母。如同過去的勒索軟件，勒索的有價目標多半是虛擬貨幣， GandCrab 也不例外，它要求的是 Bitcoin、DASH 或其他虛擬貨幣。

解密

第一版 GandCrab 的開發較為青澀，因此，在很短的時間，即有安全工程師破解其中加密缺陷，而釋出免費的解密工具；隨著 GandCrab 每一版的演進，解密工具也都順利地通過找到其中缺陷而推出。 GandCrab 4.0 版幾乎都可以被免費解密了，但 GandCrab 的開發者似乎也發現了這個問題，在安全工程師釋出 5.0.4 及 5.1 的解密工具的 24 小時內， GandCrab 的開發者就修補了勒索軟件的缺陷，造成修正后的 5.0.4、5.1 及最新的 5.2 版，目前還是無解的情況。

觀點

根據 ASRC 與 Softnext 守內安安全團隊觀察，不僅是 GandCrab 這款勒索軟件，所有的勒索軟件的感染入侵渠道大約可分為下面幾種：

• 通過暴露在防火墻外的服務，尤其是帶有未修補漏洞，或可被濫用嘗試登入的服務。
• 通過瀏覽器未修補漏洞入侵。
• 通過電子郵件寄送夾帶前導攻擊程序的惡意鏈接或文檔，再以社交手段誘使受害人開啟。
• 偽裝為破解文件程序、修補軟件、網頁字體，誘使受害人執行安裝。

知道了入侵的渠道與手段，我們建議可先盤點并以防火墻管控、封閉不必要暴露在網絡上的服務，或至少，對于嘗試登入失敗的次數做限制并監控。再者，以安全的瀏覽器，并時時保持更新，盡可能減少瀏覽器的外掛的使用，以降低上網瀏覽及遭到入侵的風險，還有，別忽視搜索引擎或瀏覽器發出的安全警示。架構一個安全的郵件過濾機制，已是基本的信息安全防護措施，畢竟電子郵件是數年來黑客入侵的首選渠道！最后，操作系統本身會避免外來程序自動執行，但卻無法避免人為允許的操作，社交手段主要攻擊的對象是人，除了盡可能地隔離惡意程序與人接觸外，基本的信息安全意識是必須的。

除了做好上述風險的控制措施外，面對勒索軟件的侵害，建議您還是應該有定期脫機備份的策略。萬一因意外造成重要數據被加密時，您還有從備份文件數據還原的選擇。我們并不建議任何向黑客付贖以取回文檔的行為，因為這樣的行為，等于是變相鼓勵了攻擊者，支持他們的不義之舉。

信息安全不是一個簡單的單一層面的問題，也從未有單一特定產品可解決所有的安全問題。在依賴信息科技的時代，面對信息安全問題，沒有誰能置身事外。信息安全防護是一個動態、持續建構與改善的防御工程，若能有好的產品、優秀的協防顧問團隊，例如： Softnext 守內安旗下的郵件網關系統 SPAM SQR，將使您面對信息安全問題能事半功倍。

關于 ASRC 垃圾信息研究中心

ASRC 垃圾信息研究中心 (Asia?Spam-message?Research?Center)，長期與 Softnext 守內安合作，致力于全球垃圾郵件、惡意郵件、網絡攻擊事件等相關研究事宜，并運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動等方式，促成產政學界共同致力于凈化網絡之電子郵件使用環境。更多信息請參考 www.asrc-global.cn

關于 SPAM SQR 與 ADM 高級防御模塊

Softnext 守內安 SPAM SQR 內置多種引擎?(惡意文檔分析引擎、威脅感知引擎、智能詐騙引擎)?、惡意網址數據庫，并可整合防毒與動態沙盒等機制，以多層式的運行過濾方式，對抗惡意威脅郵件的入侵。

SPAM SQR 的 ADM 高級防御模塊 (Advanced?Defense?Module)，可防御魚叉式攻擊、 APT 等新型進階攻擊手法郵件。研究團隊經長時間的追蹤黑客攻擊行為，模擬產出靜態特征。程序自動解封裝文檔進行掃描，可發掘潛在代碼、隱藏的邏輯路徑及反組譯代碼，以利進行進階惡意程序分析比對。可提高攔截夾帶零時差 (Zero-day) 惡意程序、 APT 攻擊工具及含有文件漏洞的攻擊附件等攻擊手法郵件的能力。

關于守內安

守內安信息科技（上海）有限公司（以下簡稱 “守內安”），是上海市政府及國家獎勵支持的自主研發高科技創新的“雙軟認定企業”和“高新技術企業”，鉆研郵件風險管理和信息安全內控管理。以電子郵件安全管理為核心，研發了一系列“電郵安全與合規”為中心的核心產品線，衍生到威脅防御與聯合防御體系。守內安十幾年來秉承“以客為尊”的服務理念，樹立了“服務?品質?值得信賴”的品牌理念，目前已擁有7000+家全球性企業級用戶，終端用戶達80,000,000+人次。

守內安受到廣大客戶認可的端口25 郵件安全生態防御明星產品：

1. SPAM SQR： 防垃圾郵件過濾系統-提供勒索、APT及商業郵件詐騙等惡意郵件的防御。
2. MSE： 電子郵件過濾審批系統-郵件事先過濾審批策略，防止數據通過郵件外泄(DLP)。
3. MAE： 電子郵件歸檔審計系統-事后快速調閱，審計舉證與合規性。
4. Mail SOC： 提供郵件巡航與RBL等偵測服務。
5. SMRS： 外發郵件不通轉發安全中繼平臺服務。

服務咨詢：+86-021-51036007

官網：www.softnext.com.cn