近日，某安全團隊跟蹤到多起GandCrab勒索病毒最新變種感染事件。由于感染主機桌面屏幕會被設置成為深藍色，將該變種命名為GandCrab勒索DeepBlue變種。

該勒索變種使用RSA+AES算法進行加密，加密文件后會使用隨機字符串作為后綴，且更換桌面為深藍色背景。目前該勒索暫時無法解密，提醒廣大用戶防范該勒索變種入侵感染。

病毒名稱：GandCrab勒索DeepBlue變種

病毒性質(zhì)：勒索病毒

影響范圍：已有多省份用戶受感染，包括但不限于政府、醫(yī)藥、教育等行業(yè)

危害等級：高危

傳播方式：漏洞利用、RDP暴力破解等方式傳播

GandCrab勒索DeepBlue變種在功能代碼結(jié)構(gòu)上與GandCrab非常相似，同時應用了多種反調(diào)試和混淆方式，且似乎還處于不斷調(diào)試的階段，變種使用RSA+AES算法進行加密，加密文件后會使用隨機字符串作為后綴，且更換桌面為深藍色背景（標題題目會變化），具體勒索特征如下：

GandCrab勒索DeepBlue變種入侵方式呈現(xiàn)多樣化，截至目前收集到以下入侵手段（不排除將來有更多入侵手段）：

• 利用Confluence漏洞(CVE-2019-3396)
• RDP暴力破解
• FCKeditor編輯器漏洞
• WebLogic wls9-async反序列化遠程命令執(zhí)行漏洞

值得一提的是，該攻擊者（團伙）近期活躍頻繁，且慣用手法是利用多種可能存在漏洞傳播勒索病毒來入侵用戶終端，并且疑似在開發(fā)新型的勒索病毒家族變種。

解決方案

針對已經(jīng)出現(xiàn)勒索現(xiàn)象的用戶，由于暫時沒有解密工具，建議盡快對感染主機進行斷網(wǎng)隔離。盡快做好病毒檢測與防御措施，防范該病毒家族的勒索攻擊。

cc

收藏 海報分享