GandCrab Ransomware通过NSA进行漏洞传播

  • A+
所属分类:网络安全新闻

GandCrab 是一个勒索软件家族,最近几个月收到了大量更新,现在正试图使用​​与NSA相关的EternalBlue漏洞来感染Windows XP机器。

GandCrab Ransomware通过NSA进行漏洞传播

Fortinet 表示,恶意软件通常通过垃圾邮件传播,但本月早些时候首次出现的GandCrab 4正在通过受感染的网站进行分发。恶意软件现在将.KRAB扩展名附加到加密文件。

新版本还包括代码结构方面的大修,已切换到Salsa20流密码进行数据加密,并且还删除了一些较旧的功能。更重要的是,它不再需要命令和控制(C&C)通信来加密文件。

“对于这个最新版本,我们发现许多被感染的网站都注入了恶意网页。这些页面立即将用户重定向到一个单独的页面,其中包含导致GandCrab可执行文件的实际下载链接,“Fortinet解释说。

安全研究人员表示,恶意软件可执行文件和下载链接都会定期更新。实际上,在版本4出现后的几天内,勒索软件作者发布了GandCrab 4.1,它已经显示出网络通信的迹象。

更重要的是,正如安全研究员Kevin Beaumont所发现的那样,勒索软件也试图通过国家安全局的EternalBlue SMB漏洞传播。

这项新功能最有趣的方面是Windows XP和Windows Server 2003系统也是现有操作系统的目标。

该EternalBlue漏洞的目标,在Windows的服务器消息块(SMB)中的安全漏洞端口445.The缺陷,然而,只有影响较旧的操作系统版本,主要是Windows XP和Windows 7。

该漏洞利用以前没有在Windows XP上开箱即用,但这并没有阻止像WannaCry这样的勒索软件尝试使用它进行传播。事实上,迄今为止,许多恶意软件家族一直在滥用这一漏洞,包括NotPetya wiper。

微软修补了EternalBlue在漏洞利用公开之前所针对的漏洞,甚至推出了针对Windows XP 的紧急补丁,以保证用户免受WannaCry 的攻击。

因此,正如Beaumont所指出的,对GandCrab和通过EternalBlue传播的任何恶意软件的最佳防御是为所有操作系统应用可用的补丁,包括旧的Windows XP和Windows Server 2003。

“许多防病毒产品已经放弃了对Windows XP和2003的支持,这使得这个问题很严重。您可能希望确保员工不要从BitTorrent下载内容,安装未知软件,运行keygens,访问随机USB记忆棒等,“Beaumont指出。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: