143期报告汇总
安天发布《GandCrab 勒索软件 V4 版本分析报告》
 
     近 日, 安 天 CERT( 安 全 研 究 与 应 急处理中心)在梳理网络安全事件时发现 GandCrab 勒索软件出现了第 4 个版本,新版 本具有许多变化,包括不同的加密算法、新 的加密扩展名、新的赎金数额和新的 TOR 支付链接。

     GandCrab V4 通过一个虚假的软件破解 网站传播,勒索软件开发者会在软件破解网 站上发布提供破解软件下载链接的博客,当 用户下载并运行这些破解软件时,GandCrab 就会被安装到计算机上。根据安全研究员在 GandCrab V4 中发现的调试信息,该勒索软 件看起来已经将其加密算法切换为 Salsa20, GandCrab 的作者还向发明 Salsa20 算法的伊利诺伊大学芝加哥分校的计算机教授 Daniel J. Bernstein 发 送 了 一 条 消 息:“@hashbreaker Daniel J. Bernstein let's dance salsa。

     GandCrab V4 样 本 运 行 后, 将 扫 描 计 算机和所有的网络共享,当匹配到相应格式 的文件时,加密文件,然后将 .KRAB 扩展 名附加到加密文件原有的扩展名后。在加 密文件时,勒索软件还会创建名为 KRABDECRYPT.txt 的 勒 索 信 息, 其 中 包 含 受 害 者文件发生变化的信息、付款的 TOR 地址 以及勒索软件开发者恢复文件所需的密钥。 如果用户访问了 TOR 支付网站,他们将获 得赎金金额以及如何支付以获得 GandCrab Decryptor 解密工具的说明。目前赎金金额是价值 1200 美元的 DASH(达世币)加密货币。

     安天 CERT 提醒广大网络使用者,要提 高网络安全意识,在日常工作中要及时进行 系统更新和漏洞修复,不要随意下载非正版 的应用软件、非官方游戏、注册机等。收发 邮件时要确认收发来源是否可靠,更加不要 随意点击或者复制邮件中的网址,不要轻易 下载来源不明的附件,发现网络异常要提高 警惕并及时采取应对措施,养成及时更新操 作系统和软件应用的好习惯。同时也要做好 文件的备份,以防止勒索软件加密重要文件 后无法恢复。

      目前,安天追影产品已经实现了对该 类恶意代码的检出。