域名預訂/競價，好“米”不錯過

暑假臨近，各中小學、高校也迎來了畢業(yè)季，休閑聚會、小長假出游，拍照成為了必不可少的假期操作。不法分子也借著照片需要傳輸?shù)钠鯔C，將內含偽裝照片壓縮包的釣魚郵件命名為“Our photo”進行大肆傳播，并且偽裝十分逼真，欺騙性極強。

這類名為“Our photo”的釣魚郵件，內容主要為附件壓縮包，壓縮包由年份加其它數(shù)字組成，比如“20181702_170251.jpg.zip”。當用戶運行解壓時，壓縮包內帶的js腳本文件就會自動下載運行GandCrab3勒索病毒。

一旦感染了GandCrab 3勒索病毒后，桌面背景會被替換為如下信息：

并且每個文件都會被加密后綴名并且被修改為.CRAB，在每個文件夾下都會釋放GDCB-DECRYPT.txt，用來描述解密過程。

GandCrab勒索病毒是2018年上半年傳播范圍最廣、攻擊頻率最高的勒索病毒之一。該勒索家族于2018年01月面世，短短幾個月的時間，已歷經四大版本更迭。受害者大部分集中在巴西、美國、印度、印度尼西亞和巴基斯坦等國家。

第一版本的GandCrab勒索病毒因C&C被安全公司與警方合作后控制而登上各大科技媒體頭條，主要通過Seamless惡意廣告軟件和RIG、GrandSoft漏洞利用工具包進行傳播，勒索用戶1.5個達世幣，約合1200美元。兩個月后GandCrab V2勒索病毒出現(xiàn)，在V2家族的樣本中，病毒作者使用極具挑釁意味的C&C地址(C&C地址中包含針對警方和安全公司的字符內容)，以郵件傳播的方式，利用二維碼獲取付款地址勒索用戶0.72達世幣，約合400美元。

第三版的GandCrab V3勒索病毒雖然在勒索上沒有明確的貨幣指示，但其結合了V1版本與V2版本的代碼隱藏技術，更加隱蔽。GandCrab V3勒索病毒使用CVE-2017-8570漏洞進行傳播，漏洞觸發(fā)后會釋放包含“?????”(韓語” 你好”)字樣的誘餌文檔。

近期，國外安全研究人員發(fā)現(xiàn)了GandCrab V4勒索病毒的最新變種版本，同樣采用RSA1024加密算法，將系統(tǒng)中的大部分文檔文件加密為.KRAB后綴的文件，然后對用戶進行勒索。該勒索病毒主要通過郵件、漏洞、垃圾網站掛馬等方式進行傳播，其自身不具備感染傳播能力，不會主動對局域網的其他設備發(fā)起攻擊，會加密局域網共享目錄文件夾下的文件。但在分析這款V4版時，研究人員發(fā)現(xiàn)其部分網絡功能似乎還不太完善，預測近期這群黑產團伙很有可能會推出它的更新版。

值得注意的是，目前除了第一版的GandCrab勒索病毒已具備解密方法，對于被GandCrab2和GandCrab3加密的文件，尚沒有解密方法，而GandCrab V4因剛剛出現(xiàn)，功能還不完整，研究人員也無法預測其解密方式。

Coremail論客作為郵件系統(tǒng)領域的領航者，在釣魚郵件方面的研究技術也一直在持續(xù)更新。對于普通個人用戶，Coremail論客安全專家建議：

1.不要輕易打開來歷不明的文件和郵件附件，不從不明網站下載軟件

2.對重要文件數(shù)據(jù)進行定期的安全備份

3.及時安裝操作系統(tǒng)漏洞補丁，修復相應的高危漏洞

4.盡量關閉不必要的文件共享權限以及關閉不必要的端口，如：445,135,139,3389等

5.RDP遠程服務器等連接不要使用弱密碼，盡量使用強密碼

6.安裝專業(yè)的終端安全防護軟件，為主機提供端點防護和病毒檢測清理功能

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！