時尚是一個輪回，新聞也是。

最近，雷鋒網(wǎng)編輯在朋友圈看到一篇被傳閱的文章——《“俠盜病毒”已攻擊我國，不可破解，盡快防御！》?？纯催@標題，這氣勢，儼然一個爆點。

打開文章，大意就是近日出現(xiàn)的一款名為 GandCrab V5.2 加密貨幣勒索病毒，似乎大有再現(xiàn) WannaCry “昔日榮光”的跡象，目前已在中國攻擊了數(shù)千臺政府以及企業(yè)的電腦。重點這個“地表最強”勒索病毒還不可破解。

但是怎么越看越熟悉？于是編輯翻了翻聊天記錄，從我們的選題群（沒錯，大家就是這么的熱情努力）中發(fā)現(xiàn)了有關(guān)俠客病毒的另一篇文章，《放過敘利亞，不可破解的“俠盜病毒”來禍害中國了》內(nèi)容基本與上面那篇差不多，只不過這篇文章發(fā)布于3月19日。

兩篇文章前后相差幾乎一月，期間各大安全公司有沒有發(fā)表過相關(guān)預(yù)警文章？

搜索一下后發(fā)現(xiàn)真的有：

“俠盜病毒”志不在“俠”，XX強力查殺！

“俠盜病毒”并不可怕！XX1月前即可防御！

……

到底誰在標題黨？

一方說這個病毒超牛X，超恐怖，無法呼吸。

另一方說這個病毒算what？看我強力查殺，一秒打趴。

再仔細一看，某幾家公司的確解密了 GandCrab 其他版本，只不過對 GandCrab V5.2 確實沒辦法。

GandCrab 團隊自誕生就伴隨著“俠盜光環(huán)”，除了技術(shù)高超，其“盜亦有道”，給贖金就解密的行事作風也受到了“好評”，其中2018年發(fā)生的將敘利亞以及其他戰(zhàn)亂地區(qū)加進感染區(qū)域白名單的操作更得了“俠盜”之名。

外界對這個神秘團伙有過多種猜測，最主流的一種是病毒作者可能為俄羅斯人。因為 GandCrab 如果監(jiān)測到電腦系統(tǒng)使用的是俄語系語言，會停止入侵。

首次出現(xiàn)于2018年1月的 GandCrab 勒索病毒，在短短的一年多時間內(nèi)經(jīng)歷了多個版本的更新迭代。傳播感染方式多種多樣，使用的技術(shù)也不斷升級。電腦一旦被感染，病毒會對磁盤內(nèi)的文件進行加密并提示支付贖金進行解密。

GrandCrab V 5.2版本所使用的語言，主要是中文、英文以及韓文，說明這三國已經(jīng)成為其重要的攻擊目標。根據(jù)國家網(wǎng)絡(luò)與信息安全信息通報中心監(jiān)測，GandCrab V5.2 自 2019 年 3 月 11 日開始在中國肆虐，攻擊了上千臺政府、企業(yè)以及相關(guān)科研機構(gòu)的電腦。

據(jù)星球日報報道，GandCrab V5.2 主要通過郵件形式攻擊。

攻擊者會向受害人郵箱發(fā)送一封郵件，主題為“你必須在 3 月 11 日下午 3 點向警察局報到！”，發(fā)件人名為“Min，Gap Ryong”，郵件附件名為“03-11-19.rar”。

一旦受害者下載并打開該附件，GandCrab V5.2 在運行后將對用戶主機硬盤數(shù)據(jù)全盤加密，并讓受害者訪問特定網(wǎng)址下載 Tor 瀏覽器，隨后通過 Tor 瀏覽器登錄攻擊者的加密貨幣支付窗口,要求受害者繳納贖金。

除此之外， GandCrab V5.2 還可能通過 RDP 和 VNC 擴展攻擊影響更多電腦，還有可能利用 CVE-2019-7238(Nexus Repository Manager 3 遠程代碼執(zhí)行漏洞)  以及 weblogic 漏洞進行傳播。

每每勒索病毒爆發(fā)后都會各種標題黨，有的說“不可破解”，有的說“已被破解”。到底破沒破？還真不一定，瑞星副總裁唐威表示，絕大多數(shù)勒索病毒加密文件后都不能恢復(fù)。

如果針對勒索病毒威脅程度，進行星級分類：

★ ：沒有加密文件，只設(shè)置開機密碼或者MBR密碼等；

★★ ：加密文件，使用對稱算法，并且密鑰硬編碼在程序中，可輕松解密文件；

★★★ ：加密文件，使用對稱算法，理論上可以解密，但是由于各種原因，例如本地不存儲密鑰，密鑰上傳到攻擊者服務(wù)器等，無法獲取密鑰；

★★★★: 加密文件，使用非對稱算法在沒有攻擊者的私鑰的情況下無法解密；

★★★★★: 除上述威脅外，具有蠕蟲傳播功能，會感染網(wǎng)絡(luò)中的其它機器。

三顆星（包括三星）以上的勒索病毒加密文件后一般可以進行恢復(fù)，高于三星、采用非對稱加密算法的勒索病毒基本無法恢復(fù)。

至于同樣使用了非對稱加密算法的 GandCrab V5.1為什么也可以恢復(fù)，是因為羅馬尼亞警方抓到了病毒作者，找到了病毒位于暗網(wǎng)的控制服務(wù)器并獲取了解密密鑰。于是，各大安全公司利用密鑰開發(fā)出 GandCrab 勒索病毒的解密工具，幫助用戶恢復(fù)被加密文件。

慘還是用戶慘，資料被鎖就算了，遇到不”俠盜“的黑客團伙，交了贖金可能也找不回資料。更何況還有些渾水摸魚的騙子公司打著可以破解勒索病毒的稱號收錢斂財。

所以，對于用戶來說，備份比什么都管用。同樣，安全專家也給出了一些應(yīng)對 GandCrab V5.2 的建議：

1. 不要打開來歷不明的郵件附件；

2. 及時安裝主流殺毒軟件，升級病毒庫，對相關(guān)系統(tǒng)進行全面掃描查殺；

3、啟用防火墻，關(guān)閉445、135、139等不必要的端口，不要在公網(wǎng)上直接暴露遠程桌面服務(wù)(RDP，默認監(jiān)聽端口3389)，如運維需要，確保只能登錄VPN后才能訪問；
4、相關(guān)服務(wù)器設(shè)置符合密碼復(fù)雜度要求的強口令，有條件的客戶應(yīng)部署應(yīng)用防火墻或者漏洞掃描設(shè)備，及時發(fā)現(xiàn)和阻止通過漏洞進行的攻擊；
5、盡快備份數(shù)據(jù)并定期進行備份；
6、部署優(yōu)炫操作系統(tǒng)增強系統(tǒng)用于主機加固抵抗勒索病毒。

7、對已感染主機或服務(wù)器采取斷網(wǎng)措施，防止病毒擴散蔓延。

雷鋒網(wǎng)參考來源：星球日報

雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。