GandCrab勒索病毒來襲

文/鄭先偉

3月教育網(wǎng)運(yùn)行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。

針對(duì)網(wǎng)站系統(tǒng)的攻擊事件仍然是目前安全事件中占比最多的。

近期需要關(guān)注的是勒索病毒GandCrab家族的最新變種5.2版本，該變種主要通過電子郵件附件進(jìn)行傳播，攻擊者會(huì)冒充執(zhí)法機(jī)關(guān)發(fā)送偽造的郵件到受害者郵箱中來恐嚇用戶（ 內(nèi)容如“必須在 3 月 11 日下午3 點(diǎn)到警察局報(bào)到” 等），并要求用戶點(diǎn)擊運(yùn)行帶有病毒程序的附件，從而感染用戶的系統(tǒng)。感染后病毒會(huì)對(duì)系統(tǒng)上三百多種格式的文件進(jìn)行加密以此來向用戶索要贖金后進(jìn)行解密。需要注意的是該變種除了會(huì)加密系統(tǒng)上的文件外，還會(huì)嘗試加密網(wǎng)絡(luò)共享文件夾中的文件。由于GandCrab勒索病毒家族加密數(shù)據(jù)使用的是RSA+AES加密算法，在沒有獲取解密私鑰的情況下幾乎無法自行破解，因此針對(duì)該病毒我們建議還是以防范預(yù)防為主。

近期新增嚴(yán)重漏洞評(píng)述：

2019年2～3月安全投訴事件統(tǒng)計(jì)

1. 微軟3月的例行安全公告修復(fù)了其多款產(chǎn)品存在的224個(gè)安全漏洞。受影響的產(chǎn)品包括Windows 10 1809 &WindowsServer 2019（33個(gè)）、Windows 10 1803 & WindowsServer v1803（33個(gè)）、Windows 10 1709 & WindowsServer v1709（28個(gè) ）、Windows RT 8.1（19個(gè)）、Windows Server 2012（20個(gè)）、Windows 8.1 & Server 2012 R2（20個(gè)）、Windows Server 2008（21個(gè)）、Windows 7 and Windows Server 2008R2（21個(gè)）、Microsoft Edge（14個(gè)）、Internet Explorer（12個(gè)）和Office（3個(gè)）。其中需要關(guān)注的是Windows ActiveX 遠(yuǎn)程代碼執(zhí)行 漏 洞（CNNVD-201903-377、CVE-2019-0784）、Internet Explorer 內(nèi)存損壞 漏 洞（CNNVD-201903-435、CVE-2019-0763）、Chakra 腳本引擎內(nèi)存損壞漏洞（CNNVD-201903-421、CVE-2019-0592）等漏洞，這些漏洞可能導(dǎo)致攻擊者遠(yuǎn)程執(zhí)行任意代碼，本地權(quán)限提升或拒絕服務(wù)攻擊等，建議用戶盡快使用系統(tǒng)自動(dòng)更新功能進(jìn)行補(bǔ)丁升級(jí)。

2. Zimbra是一款開源的整套郵件系統(tǒng)解決方案，可為用戶提供包括Web界面在內(nèi)的各種郵件功能。最近Zimbra官方在其發(fā)布的安全公告中公開披露了一個(gè)會(huì)影響到Zimbra Collaboration Server 8.8.11以下所有版本的遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可以通過系統(tǒng)任意文件讀取、XXE(XML外部實(shí)體注入)等漏洞讀取localconfig.xml配置文件，獲取zimbra admin ldap password，并通過7071管理端口進(jìn)行SOAP AuthRequest認(rèn)證獲得系統(tǒng)admin權(quán)限后即可遠(yuǎn)程代碼執(zhí)行任意代碼。需要注意的是即便管理員通過網(wǎng)絡(luò)控制手段關(guān)閉了7071管理端口，攻擊者仍然可以通過通用服務(wù)的443端口來進(jìn)行攻擊。目前廠商已經(jīng)在新版本中修復(fù)了相關(guān)漏洞，建議用戶盡快更新Zimbra到最新版本。

安全提示

要防范各種勒索病毒，建議用戶做到如下幾點(diǎn)：

1. 及時(shí)安裝系統(tǒng)及軟件的補(bǔ)丁程序，防止病毒利用漏洞進(jìn)行傳播；

2. 安裝有效的防病毒軟件并及時(shí)更新病毒庫，定期進(jìn)行全盤掃描；

3. 關(guān)閉系統(tǒng)中U盤自動(dòng)運(yùn)行功能；

4. 不要在系統(tǒng)上隨便點(diǎn)擊來歷不明的程序，包括郵件附件、不可信渠道下載的軟件等；

5. 避免為系統(tǒng)賬號(hào)設(shè)置弱口令；

6. 關(guān)閉系統(tǒng)不必要的服務(wù)和共享，對(duì)于必須開放的服務(wù)，盡量不要使用默認(rèn)的服務(wù)端口，如遠(yuǎn)程桌面的3389端口；

7. 提高安全意識(shí)，保持良好的上網(wǎng)習(xí)慣，不要訪問非法的網(wǎng)站及網(wǎng)頁；

8. 養(yǎng)成良好的工作習(xí)慣，定期使用其他介質(zhì)備份重要數(shù)據(jù)文件。

對(duì)于那些已經(jīng)被勒索病毒感染的用戶，我們不建議您向攻擊者繳納贖金來進(jìn)行數(shù)據(jù)解密。您可以先確認(rèn)感染的勒索病毒的名稱及版本，然后到網(wǎng)絡(luò)上查詢?cè)摪姹纠账鞑《镜募用芩借€是否已經(jīng)被公布，如果已被公布則可以自行解密。如果還未被公布，建議將被加密的文件進(jìn)行備份封存，等待未來某個(gè)時(shí)候加密私鑰被公布。因?yàn)殡S著時(shí)間推移和廣大安全工作者的努力，有很多勒索病毒所使用的加密私鑰最終都被公開出來了。