本站使用 Cookies,继续浏览表示您同意我们使用 Cookies。 Cookies 和隐私政策
本次变种同样采用RSA+AES加密算法,将文档文件加密为随机后缀名的文件,然后对用户进行勒索。该勒索病毒主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,会加密局域网共享目录文件夹下的文件。
该勒索病毒的攻击流程图如下所示:
黑客首先RDP爆破其中一台主机,成功获取到该主机的控制权后,上传一整套工具,包括:进程管理工具、内网扫描工具、密码抓取工具、暴力破解工具以及勒索病毒体。由于其中某些工具容易被杀软查杀,因此黑客对其进行了加密压缩处理,压缩密码为“123”。
HW包含了勒索病毒体HW.5.0.2.exe以及一个文本文件HW.txt,HW.txt记录了用于无文件勒索的powershell命令。黑客可直接运行勒索病毒体或者执行powershell命令进行勒索。
最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+下一代防火墙+EDR,对内网进行感知、查杀和防护。
您可以通过以下方式联系我们,获取关于GandCrab的免费咨询及支持服务: