【勒索病毒预警】GandCrab勒索病毒更新至V5.2，影响范围甚广

曾经在短短两个月时间内让犯罪分子获利近60万美元的勒索病毒GandCrab V5.1在北京时间2月19日已升级到V5.2版本，病毒此次更新主要是为了应对V5.1版本密钥泄露问题，更换了加密使用的主密钥，同时升级后的病毒开启了新的传播方式。截止目前，已有相当部分用户遭受GandCrab V5.2勒索病毒的攻击，望广大网民予以重视。

病毒描述 Gandcrab是首个以达世币（DASH）作为赎金的勒索病毒，用户中毒后文件无法打开，桌面背景图片被修改为勒索信息，同时桌面会自动生成一个勒索文档，向受害者勒索价值约1200美元的达世币赎金。由于GandCrab勒索病毒使用Salsa20算法加密文件，使用RSA算法加密密钥。因此想要解密文件，必须获得解密密钥。由于暗网的匿名性导致控制服务器较难追踪，因此大量受害者不得不通过交纳赎金才可以解密文件。 相比于之前的版本V5.1，V5.2整体执行的功能没有太大变化。只是病毒代码内部使用的部分API函数字符串被加密，主要是为了对抗静态分析和杀软扫描。病毒仍然使用Salsa20加密文件，RSA算法加密Salsa20密钥，没有攻击者的RSA私钥无法解密文件，使用生成的随机后缀对加密后的文件进行命名。 GandCrab勒索病毒家族在国内传播广泛，已经感染了50多万名用户，并且还有持续爆发趋势，可使用U盘蠕虫、下载器、远程桌面爆破、永恒之蓝漏洞等各种方式传播，而这次病毒传播者又开启了挂马传播技能，对个人用户危害严重！ 在2019年，GandCrab又开启新传播方式——利用网页挂马进行传播。挂马站点在色情站点投放广告，利用色情站点跳转挂马页面实施攻击。本次主要利用了Fallout Exploit Kit工具，Fallout Exploit Kit近期做过一次更新，添加了对CVE-2018-4878（Adobe Flash Player漏洞）、CVE-2018-8174（Windows VBScript引擎远程代码执行漏洞）的漏洞利用。

传播方式 通过远程桌面入侵、邮件、漏洞、垃圾网站挂马等方式传播，不具备内网传播能力。

病毒防御 1、及时更新系统补丁，防止受到漏洞攻击； 2、对重要的数据文件定期进行异地备份； 3、从正规（官网）途径下载需要的软件； 4、不要打开来源不明的邮件链接及附件； 5、尽量关闭不必要的文件共享服务和远程桌面服务； 6、修改计算机账户密码为强密码，避免使用通用密码； 7、安装可靠的杀毒软件，及时升级病毒库； 8、寻找可靠的数据恢复团队进行解密。