社区

黑奇士从相关部门了解到：从3月11日起，境外某黑客组织向我国开展勒索邮件攻击，邮件中带有GandCrab5.2勒索病毒，已有少数企业用户中招。

（黑客组织发送的带毒邮件）

在成功入侵电脑之后，病毒会加密电脑上的重要数据文件（类型超过400种），根据加密的文件数量，向中招用户勒索赎金1000美元-5000美元不等。目前教育、医疗等重要机构是其重点攻击对象。

病毒邮件主题为“你必须在3月11日下午3点到警察局报到！”，发件人名为“Min，GapRyong”，邮件附件名为“03-11-19.rar”。用户如果被骗打开附件，电脑就会中毒。

安全厂商瑞星公司发布病毒分析，邮件中携带的勒索病毒版本号为GandCrab5.2，是2019年2月最新升级的勒索病毒版本。病毒发作后对用户主机硬盘数据全盘加密，并让受害用户访问网址下载Tor浏览器，随后通过Tor浏览器登录攻击者的数字货币支付窗口，要求受害用户缴纳赎金。

瑞星公司提醒广大用户切勿点击陌生邮件，安装有效杀毒软件，以防被勒索病毒攻击。目前，瑞星所有个人及企业级产品均可对GandCrab 5.2勒索病毒进行查杀，瑞星之剑可以有效拦截该勒索病毒。

瑞星安全专家介绍说，GandCrab 5.1及之前的版本可以被完美解密，这让很多中毒用户对病毒危害性估计不足。但那些病毒之所以可以被解密，是由于病毒位于暗网的控制服务器被国外执法机构查获，所以可以获取到病毒作者私钥，也就是解密秘钥。

但是最新的GandCrab 5.2控制服务器尚未被查获，解密密钥无法获取，一旦中毒无法解密。

目前我国已有少量企业用户被该病毒攻陷，瑞星安全专家对相关案例进行了分析：

第一种情况：黑客发送钓鱼邮件到受害者邮箱中，并恐吓受害者“必须在3月11日下午3点到警察局报到”，而诱导受害者点击邮件。邮件附件是一个rar格式的压缩包，解压后出现一个exe程序，伪装成Office Word文档图标。

（图标看起来是word，其实是exe可执行文件）

一旦用户点击这个exe，病毒便开始运行，加密电脑文件。

第二种情况：黑客发送的带毒邮件一样，但邮件附件为JPG图片，其实这是一个JS脚本，在没有显示后缀名的计算机中，非常具有迷惑性。

图：伪装成图片的JS脚本

一旦用户点击并运行了该脚本，就会调用Powershell下载GandCrab 5.2勒索病毒，病毒运行后就会加密电脑文件。

瑞星安全专家提醒企业用户，近期安全形势紧张，要在员工中做好防病毒教育，三大防范措施：

1、不打开陌生人发来的可疑邮件，不随意点开邮件附件。重要业务系统的电脑要和网络物理隔离。

2、电脑上不使用简单的口令密码，比如1234、abcd、8888，网络管理员要做号监督检查工作。

3、在电脑上及时更新漏洞补丁，安装主流杀毒软件，及时更新病毒库。

随着病毒疫情发展，网安类公司可能迎来阶段**易机会，关注$绿盟科技(SZ300369)$ $三六零(SH601360)$