近日,国外安全厂商发现GandCrab在过去数月发展极快。安全厂商Fortinet 最近又在野外发现了GandCrab的新版本GandCrab V4.1。最新版本通过被破坏的网站分发,伪装为提供破解应用程序的下载网站。与版本4.0一样,版本4.1,也使用更快的Salsa2.0流密码加密数据,而不是早期GandCrab版本中使用的RSA-2048加密。GandCrab 4.1与以往最大的区别在于其硬编码的受损网站列表非常长,有的列出了近千个不同主机。一旦连接到列表中的URL,恶意软件就会从受感染的系统向其发送数 - 例如IP地址,用户名,计算机名称,网络域以及系统上的反恶意软件工具列表。据Fortinet分析,GandCrab 4.1通过杀死例如msftesql.exe,sqlagent.exe,oracle.exe,msaccess.exe,powerpnt.exe和wordpad.exe等许多各类进程,来提高加密速度,并保证对用户的高价值文件进行加密。因此它可以确保任何目标的完全加密文件。但是研究人员没有在GandCrab 4.1中找到新版本可以传播SMB漏洞的证据 国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识,做好日常备份(最好是异地备份),不要访问包含未知风险的网站或打开不明来历的电子邮件附件,保持开启杀毒软件实时监控功能,并持续关注我中心网站上关于勒索软件的有关资讯 |