关于GandCrab系列勒索病毒
病毒是通过样本传播的(QQ微信群等方式,以安全分析或评测为理由向已有样本人员索要样本)
病毒可以通过445和其它端口传播,可以通过Word等办公文件Email传播
病毒加密算法为RES+AES256+RSA ,所以很难破解(没有私钥基本无望)
加密速度显著比2017年的WannaCry2.0加密速度快(秒加密)
一旦篡改桌面后,基本加密完成,已无回天之力
病毒不可以通过安全模式删除
病毒也会加密回收站里的文件
病毒会打开互斥体以防止程序员反汇编、反调试
病毒破解难度太大,国内外无云查杀情况下基本杀不到病毒
攻击性强,使用多种不实名货币,获取更多利润
制作者在暗网里用了 MilakageRTgccd攻击套件 和 WKB传播包 无法阻止病毒作者
病毒作者以部分赎金给其它hacker,以获得24x7全天候支持
病毒的编译语言为C#.net/VisualBasic.NET 简单易懂制作门槛低的同时,反汇编后理解也变得容易了
病毒需要net虚拟机(NET Framework)基本上都是要net4.0的,所以部分病毒无法运行在系统上
没有加壳,只使用了混淆
支持跳过文件(系统重要文件)
CPU在加密期间明显占用过30% 异常非常明显
文件可疑(Word)性强
无网络不会自己开启网络
无法运行在非管理员账号(权利不足)
防治措施
无有效方法,建议关闭445等端口后,文件打开要仔细!
QEVM Studio 和Aurora Studio已经开始研制专杀工具(带修复功能)
预计2019/1/22发布
策划/方案/流程/文档:极光工作室
资料整理:QEVM
制作人:QEVM / Aurora
GandCrab样本已上传到我们工作室的官网 https://qevm.github.io/
样本不要非法使用,我们希望大家能利用这个样本来研究出解决方案
(C) All CopyRight For QEVM Studio And Aurora Studio .lnc 2018-2304 (R) 转载请注明,版权所有。
