俠盜病毒來(lái)到中國(guó)，騰訊、360都拿它沒(méi)轍。2017 年，WannaCry 比特幣勒索病毒攻擊了包括中國(guó)在內(nèi)的 150 多個(gè)國(guó)家，造成損失超 80 億美元。此后各

“俠盜病毒”來(lái)到中國(guó)，騰訊、360都拿它沒(méi)轍。

2017 年，WannaCry 比特幣勒索病毒攻擊了包括中國(guó)在內(nèi)的 150 多個(gè)國(guó)家，造成損失超 80 億美元。此后各類(lèi)勒索病毒(NotPetya、Bad Rabbit等)雖層出不窮，但影響范圍始終有限。

近日出現(xiàn)的一款名為 GandCrab V5.2 加密貨幣勒索病毒，似乎大有再現(xiàn) WannaCry “昔日榮光”的跡象，目前已在中國(guó)攻擊了數(shù)千臺(tái)政府以及企業(yè)的電腦。

所謂勒索病毒，即設(shè)法讓你的電腦中毒，鎖死內(nèi)部文件，要求用戶(hù)通過(guò)比特幣支付贖金才會(huì)解鎖。

包括慢霧、DVP 在內(nèi)的眾多安全團(tuán)隊(duì)都向Odaily星球日?qǐng)?bào)表示，GandCrab V5.2目前不可破解，只能做好防御。

GandCrab 團(tuán)隊(duì)不僅技術(shù)高超，而且“盜亦有道”：既信守承諾給贖金就“解毒”，還曾“人道地”將敘利亞等戰(zhàn)亂地區(qū)排除在感染地區(qū)之外，因而曾被人稱(chēng)為“俠盜”病毒。不過(guò)，其卻將中國(guó)、韓國(guó)視為其重要的攻擊目標(biāo)。GandCrab 幕后團(tuán)隊(duì)也通過(guò)出售病毒獲得了 285 萬(wàn)美元收益。

近年來(lái)針對(duì)加密貨幣的攻擊日益增多，區(qū)塊鏈安全事件頻發(fā)。除了勒索病毒，惡意挖礦也一直不甘示弱。如果說(shuō)，2017年攻擊是以“勒索病毒”為主，2018年以“惡意挖礦”為主?，F(xiàn)在，勒索病毒會(huì)否再次卷土重來(lái)?

上千臺(tái)政府、機(jī)構(gòu)電腦感染

新型的比特幣勒索病毒再次肆虐。

根據(jù)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè)，GandCrab V5.2 自 2019 年 3 月 11 日開(kāi)始在中國(guó)肆虐，攻擊了上千臺(tái)政府、企業(yè)以及相關(guān)科研機(jī)構(gòu)的電腦。

截止發(fā)稿前，湖北省宜昌市夷陵區(qū)政府、中國(guó)科學(xué)院金屬研究所、云南師范大學(xué)以及大連市公安局等政府、企業(yè)、高校均在其官網(wǎng)發(fā)布了遭受病毒攻擊的公告。

(夷陵區(qū)政府官網(wǎng)截圖)

根據(jù)網(wǎng)絡(luò)安全分析師David Montenegro所言，GandCrab V5.2 勒索病毒目前已經(jīng)感染了數(shù)千臺(tái)中國(guó)電腦，接下來(lái)還將通過(guò) RDP 和 VNC 擴(kuò)展攻擊影響中國(guó)更多的電腦。

手段：垃圾郵件攻擊

GandCrab V5.2 又是如何讓受害者電腦“中毒”的呢?據(jù)了解，該勒索病毒目前主要通過(guò)郵件形式攻擊。

攻擊者會(huì)向受害人郵箱發(fā)送一封郵件，主題為“你必須在3月11日下午3點(diǎn)向警察局報(bào)到!”，發(fā)件人名為“Min，Gap Ryong”，郵件附件名為“03-11-19.rar”。

(圖片來(lái)自騰訊安全)

一旦受害者下載并打開(kāi)該附件，GandCrab V5.2 在運(yùn)行后將對(duì)用戶(hù)主機(jī)硬盤(pán)數(shù)據(jù)全盤(pán)加密，并讓受害者訪問(wèn)特定網(wǎng)址下載 Tor 瀏覽器，隨后通過(guò) Tor 瀏覽器登錄攻擊者的加密貨幣支付窗口,要求受害者繳納贖金。

DVP區(qū)塊鏈安全團(tuán)隊(duì)認(rèn)為，除了垃圾郵件投放攻擊， GandCrab V5.2 還有可能采用“網(wǎng)頁(yè)掛馬攻擊”。即除了在一些非法網(wǎng)站上投放木馬病毒，攻擊者還可能攻擊一些防護(hù)能力比較弱的正規(guī)網(wǎng)站，在取得網(wǎng)站控制權(quán)后攻擊登陸該網(wǎng)站的用戶(hù)。

另外，該病毒也有可能通過(guò)漏洞傳播，利用CVE-2019-7238(Nexus Repository Manager 3遠(yuǎn)程代碼執(zhí)行漏洞)以及 weblogic 漏洞進(jìn)行傳播。

“攻擊者會(huì)對(duì)受害者電腦里面的文件進(jìn)行了不可逆加密，要想解開(kāi)，只能依靠攻擊者給你特定的解密密鑰。”慢霧安全團(tuán)隊(duì)解釋說(shuō)，受害者只有付款才能獲得特定密鑰。

不過(guò)，有時(shí)候也會(huì)發(fā)生受害者交了錢(qián)但攻擊者不給密鑰解鎖的情況，慢霧安全團(tuán)隊(duì)認(rèn)為攻擊者所屬團(tuán)隊(duì)的聲譽(yù)高低可以作為一個(gè)判斷依據(jù)。

“勒索蠕蟲(chóng)知名度越高，越有可能給你發(fā)密鑰，GandCrab 在暗網(wǎng)上的知名度還是很高的，口碑也不錯(cuò)。”慢霧安全團(tuán)隊(duì)說(shuō)，“如果不發(fā)私鑰就會(huì)降低聲譽(yù)，其他被攻擊者就不會(huì)再打錢(qián)了。”

“關(guān)鍵是看，攻擊者是否給受害者提供了一個(gè)聯(lián)系渠道。” DVP區(qū)塊鏈安全團(tuán)隊(duì)告訴Odaily星球日?qǐng)?bào)，由于加密貨幣具有匿名性，攻擊者很難判定受害者是否進(jìn)行了打幣操作，如果沒(méi)有溝通渠道，說(shuō)明攻擊者根本無(wú)意解鎖受害電腦。

不可破解：地表最強(qiáng)的勒索病毒?

“目前根本沒(méi)有辦法直接破解，一旦被攻擊成功，如果電腦里有重要的資料，只能乖乖交錢(qián)領(lǐng)取私鑰破解。”包括慢霧、DVP 在內(nèi)的眾多安全團(tuán)隊(duì)都向Odaily星球日?qǐng)?bào)表示該病毒不可破解。

(貼吧截圖)

然而，Odaily星球日?qǐng)?bào)發(fā)現(xiàn)在一些論壇上，出現(xiàn)了宣稱(chēng)可以破解 GandCrab V5.2 的公司，條件是先付款，再破解。

“基本上都是騙子，都是一些皮包公司，根本沒(méi)有能力。”一家匿名的區(qū)塊鏈安全公司表示，“騰訊、360等公司都破解不了，他們能破解?”

“一些團(tuán)隊(duì)或個(gè)人宣稱(chēng)可以破解GandCrab V5.2，其實(shí)是‘代理’破解。”慢霧安全團(tuán)隊(duì)解釋說(shuō)，“他們收你的錢(qián)，幫你向勒索者支付加密貨幣，從而拿到解密密鑰(破解)。”

攻擊者來(lái)勢(shì)洶涌，一時(shí)之間破解不了木馬病毒，只能做好防御。宜昌市夷陵區(qū)政府也給出了一些應(yīng)對(duì)之策，包括：

一是不要打開(kāi)來(lái)歷不明的郵件附件;

二是及時(shí)安裝主流殺毒軟件，升級(jí)病毒庫(kù)，對(duì)相關(guān)系統(tǒng)進(jìn)行全面掃描查殺;

三是在Windows中禁用U盤(pán)的自動(dòng)運(yùn)行功能;

四是及時(shí)升級(jí)操作系統(tǒng)安全補(bǔ)丁，升級(jí)Web、數(shù)據(jù)庫(kù)等服務(wù)程序，防止病毒利用漏洞傳播;

五是對(duì)已感染主機(jī)或服務(wù)器采取斷網(wǎng)措施，防止病毒擴(kuò)散蔓延。

不過(guò)，慢霧安全團(tuán)隊(duì)指出，非 Windows 操作系統(tǒng)暫時(shí)并不會(huì)被感染。“GandCrab V5.2蠕蟲(chóng)目前只在Windows上運(yùn)行，其他系統(tǒng)還不行。”

“強(qiáng)悍”的病毒，也讓團(tuán)隊(duì)在安全圈里“小有名氣”。

GandCrab 勒索病毒誕生于 2018 年 1 月，并在隨后幾個(gè)月里，成為一顆“新星”。

該團(tuán)隊(duì)的標(biāo)簽之一是“技術(shù)實(shí)力”強(qiáng)。

今年2月19日，Bitdefender 安全實(shí)驗(yàn)室專(zhuān)家曾根據(jù)GandCrab自己給出的密鑰(后文會(huì)解釋原因)，研發(fā)出GandCrab V5.1之前所有版本病毒的“解藥”。

然而，道高一尺，魔高一丈。根據(jù)zdnet報(bào)道，今年2月18日，就在 Bitdefender 發(fā)布最新版本破解器的前一天，GrandCrab 發(fā)布了正肆虐版本(V5.2)，該版本至今無(wú)法破解。

目前在暗網(wǎng)中，GrandCrab 幕后團(tuán)隊(duì)采用“勒索即服務(wù)”(“ransomware as-a-service”)的方式向黑客大肆售賣(mài) V5.2 版本病毒。即由 GrandCrab 團(tuán)隊(duì)提供病毒，黑客在全球選擇目標(biāo)進(jìn)行攻擊勒索，攻擊成功后 GrandCrab 團(tuán)隊(duì)再?gòu)闹谐槿?30%-40% 的利潤(rùn)。

“垃圾郵件制造者們，你們現(xiàn)在可以與網(wǎng)絡(luò)專(zhuān)家進(jìn)行合作，不要錯(cuò)失獲取美好生活的門(mén)票，我們?cè)诘饶恪?rdquo;這是GrandCrab團(tuán)隊(duì)在暗網(wǎng)中打出的“招商廣告”。

值得一提的是，GandCrab 是第一個(gè)勒索 Dash 幣的勒索病毒，后來(lái)才加了比特幣，要加 499 美元。根據(jù) GandCrab 團(tuán)隊(duì) 2018 年 12 月公布的數(shù)據(jù)，其總計(jì)收入比特幣以及Dash幣合計(jì) 285 萬(wàn)美元。

(GandCrab 收入截圖)

“盜亦有道”的俠盜團(tuán)隊(duì)?

這款病毒的團(tuán)隊(duì)，另外標(biāo)簽是“俠盜”。該標(biāo)簽來(lái)源于2018年發(fā)生的“敘利亞密鑰”事件。

2018 年 10 月16日，一位名叫 Jameel 的敘利亞父親在 Twitter上發(fā)貼求助。Jameel 稱(chēng)自己的電腦感染了GandCrab V5.0.3并遭到加密，由于無(wú)力支付高達(dá) 600 美元的“贖金”，他再也無(wú)法看到在戰(zhàn)爭(zhēng)中喪生的小兒子的照片。

(Twitter截圖)

GandCrab 勒索病毒制作者看到后，隨即發(fā)布了一條道歉聲明，稱(chēng)其無(wú)意感染敘利亞用戶(hù)，并放出了部分?jǐn)⒗麃喐腥菊叩慕饷苊荑€。

GandCrab 也隨之進(jìn)行了 V5.0.5 更新，并將敘利亞以及其他戰(zhàn)亂地區(qū)加進(jìn)感染區(qū)域的“白名單”。此外，如果 GandCrab 監(jiān)測(cè)到電腦系統(tǒng)使用的是俄語(yǔ)系語(yǔ)言，也會(huì)停止入侵。安全專(zhuān)家據(jù)此猜測(cè)病毒作者疑為俄羅斯人。

(勒索者道歉圖)

一時(shí)之間，不少人對(duì) GandCrab 生出好感，稱(chēng)呼其為“俠盜”。

“ GandCrab 頗有些武俠小說(shuō)中俠盜的意味，盜亦有道。”一位匿名的安全人員告訴Odaily星球日?qǐng)?bào)，“不過(guò)即使這樣，也不能說(shuō) GandCrab 的行為就是正當(dāng)?shù)?，畢竟它?duì)其他國(guó)家的人就沒(méi)有心慈手軟。”

根據(jù)騰訊安全團(tuán)隊(duì)統(tǒng)計(jì)，GandCrab 受害者大部分集中在巴西、美國(guó)、印度、印度尼西亞和巴基斯坦等國(guó)家。并且，GrandCrab V 5.2 版本所使用的語(yǔ)言主要是中文、英文以及韓文，說(shuō)明中國(guó)目前已經(jīng)成為其重要的攻擊目標(biāo)。

(GrandCrab V 5.2 版本)

“一個(gè)黑客如果對(duì)一個(gè)區(qū)域的人沒(méi)有感情，那么作惡時(shí)就不會(huì)考慮這個(gè)區(qū)域的人的感受。”慢霧安全團(tuán)隊(duì)解釋說(shuō)，“在黑客看來(lái)，中國(guó)網(wǎng)絡(luò)空間積金至斗，所以對(duì)中國(guó)下手也就不足為奇。”

關(guān)鍵詞： 俠盜病毒 電腦 比特幣