?近日，一款名為GandCrab V5.2的“俠盜病毒”肆虐而至，已攻擊了巴西、美國、印度、印度尼西亞和巴基斯坦等多個，大有再現2017年WannaCry病毒“昔日榮光”（攻擊全球150多個、造成總計超80億天價損失）的跡象。

截止目前，我國已有數千臺政府以及企業的電腦遭受到攻擊，而各大安全團隊目前還未找到破解之法。MailData 在此提醒大家，千萬做好相關防御措施。

一、為何稱為“俠盜病毒”

這款GandCrab勒索病毒誕生于2018年1月，是一種新型的比特幣勒索病毒。自誕生后的幾個月里，迅速成為一顆“新星”，“技術實力強”是該團隊的標簽之一。

而團隊的另外一個標簽——“俠盜”，則來源于2018年發生的“敘利亞密鑰”事件。

2018年10月16日，一位名叫Jameel的敘利亞父親在Twitter上發帖求助，說自己的電腦感染了GandCrab V5.0.3并遭到加密，由于無力支付高達600美元的“贖金”，他再也無法看到在戰爭中喪生的小兒子的照片。

GandCrab勒索病毒制作者看到后，隨即發布了一條道歉聲明，稱其無意感染敘利亞用戶，并放出了部分敘利亞感染者的解密密鑰。GandCrab也隨之進行了V5.0.5更新，并將敘利亞以及其他戰亂地區加進感染區域的“白名單”。此外，如果GandCrab監測到電腦系統使用的是俄語系語言，也會停止入侵。安全專家據此猜測病毒作者疑為俄羅斯人。

此事一出，不少人對GandCrab生出好感，稱呼其為“俠盜”。

“GandCrab頗有些武俠小說中俠盜的意味，盜亦有道，”一位匿名的安全人員說，“不過即使這樣，也不能說GandCrab的行為就是正當的，畢竟它對其他的人就沒有心慈手軟。”

二、攻擊強悍：我國已經成為重要攻擊目標

雖說GandCrab盜亦有道，但GrandCrab V 5.2版本所使用的語言，主要是中文、英文以及韓文，說明我國目前已經成為其重要的攻擊目標。

根據網絡與信息安全信息通報中心監測，GandCrab V5.2自2019年3月11日開始在中國肆虐，目前已攻擊了上千臺政府、企業以及相關科研機構的電腦。

截止目前，湖北省宜昌市夷陵區政府、中國科學院金屬研究所、云南師范大學以及大連市公安局等政府、企業、高校，均在其官網發布了遭受病毒攻擊的公告。

據網絡安全分析師David Montenegro所說，GandCrab V5.2勒索病毒目前已經感染了數千臺中國電腦，接下來還將通過RDP和VNC擴展攻擊影響中國更多的電腦。

三、攻擊手段：垃圾郵件

據了解，GandCrab V5.2勒索病毒，目前主要是通過郵件形式攻擊。

攻擊者首先會向受害人郵箱發送一封郵件，主題為“你必須在3月11日下午3點向警察局報到！”，發件人名為“Min，Gap Ryong”，郵件附件名為“03-11-19.rar”。

受害者一旦下載并打開該附件，GandCrab V5.2會立刻對用戶主機硬盤數據進行全盤加密，并讓受害者訪問特定網址下載Tor瀏覽器，隨后通過Tor瀏覽器登錄攻擊者的加密貨幣支付窗口，要求受害者繳納贖金。

目前DVP區塊鏈安全團隊猜測，除了垃圾郵件投放攻擊，GandCrab V5.2還有可能采用“網頁掛馬攻擊”，即除了在一些非法網站上投放木馬病毒，攻擊者還可能攻擊一些防護能力比較弱的正規網站，在取得網站控制權后攻擊登陸該網站的用戶。

另外，該病毒也有可能通過CVE-2019-7238(Nexus Repository Manager 3遠程代碼執行漏洞)以及Weblogic等漏洞進行傳播。

但綜上所述，目前此勒索病毒的主要攻擊方式，仍是郵件為主。

四、不可破解：地表較強的勒索病毒？

今年2月19日，Bitdefender安全實驗室專家曾根據GandCrab自己給出的密鑰，研發出了GandCrab V5.1之前所有版本病毒的“解藥”。

然而，道高一尺，魔高一丈。根據ZDnet報道，今年2月18日，就在Bitdefender發布較新版本破解器的前，GrandCrab發布了正肆虐版本V5.2，該版本至今無法破解。

目前在暗網中，GrandCrab幕后團隊采用“勒索即服務”（“ransomware as-a-service” ）的方式，向黑客大肆售賣V5.2版本病毒，即由GrandCrab團隊提供病毒，黑客在全球選擇目標進行攻擊勒索，攻擊成功后 GrandCrab團隊再從中抽取30%-40%的利潤。

“垃圾郵件制造者們，你們現在可以與網絡專家進行合作，不要錯失獲取美好生活的門票，我們在等你。”是GrandCrab團隊在暗網中打出的“招商廣告”。

 GandCrab是目前個勒索Dash幣的勒索病毒，后來才加了比特幣，要價499美元。據GandCrab團隊2018年12月公布的數據，其總計收入比特幣以及Dash幣合計已高達285萬美元。

    對此勒索病毒，有一些論壇上出現了宣稱可以破解 GandCrab V5.2的企業和個人。一家匿名的區塊鏈安全公司表示，這些基本都是騙子，是皮包公司，根本沒有能力對病毒進行破解。他們所宣稱可以破解GandCrab V5.2，其實是“代理”破解。

    他們的破解條件是先付款，再破解，即他們收你的錢，幫你向勒索者支付加密貨幣，從而拿到解密密鑰（破解）。

五、防御之法

面對攻擊者的來勢洶洶，宜昌市夷陵區政府給出了一些應對之策：

1. 不要打開來歷不明的郵件附件；

2. 及時安裝主流殺毒軟件，升級病毒庫，對相關系統進行全面掃描查殺；

3. Windows中禁用U盤的自動運行功能；

4. 及時升級操作系統安全補丁，升級Web、數據庫等服務程序，防止病毒利用漏洞傳播；

5. 對已感染主機或服務器采取斷網措施，防止病毒擴散蔓延。

而對于郵件來往密集的企事業單位，MailData 建議盡快安裝郵件網關系統，以專業的病毒庫來進行防御。因為對于目前暫時無法破解的病毒，還是從根源上杜絕它們的進入更為保險。

（內容來源：廣東省網絡安全應急響應平臺 ）