勒索軟件不可破解？誰在標題黨

時尚是一個輪回，新聞也是。

最近，雷鋒網編輯在朋友圈看到一篇被傳閱的文章——《“俠盜病毒”已攻擊我國，不可破解，盡快防御！》。看看這標題，這氣勢，儼然一個爆點。

打開文章，大意就是近日出現的一款名為 GandCrab V5.2 加密貨幣勒索病毒，似乎大有再現 WannaCry “昔日榮光”的跡象，目前已在中國攻擊了數千臺政府以及企業的電腦。重點這個“地表最強”勒索病毒還不可破解。

但是怎么越看越熟悉？于是編輯翻了翻聊天記錄，從我們的選題群（沒錯，大家就是這么的熱情努力）中發現了有關俠客病毒的另一篇文章，《放過敘利亞，不可破解的“俠盜病毒”來禍害中國了》內容基本與上面那篇差不多，只不過這篇文章發布于3月19日。

兩篇文章前后相差幾乎一月，期間各大安全公司有沒有發表過相關預警文章？

搜索一下后發現真的有：

“俠盜病毒”志不在“俠”，XX強力查殺！

“俠盜病毒”并不可怕！XX1月前即可防御！

……

到底誰在標題黨？

一方說這個病毒超牛X，超恐怖，無法呼吸。

另一方說這個病毒算what？看我強力查殺，一秒打趴。

再仔細一看，某幾家公司的確解密了 GandCrab 其他版本，只不過對 GandCrab V5.2 確實沒辦法。

GandCrab 團隊自誕生就伴隨著“俠盜光環”，除了技術高超，其“盜亦有道”，給贖金就解密的行事作風也受到了“好評”，其中2018年發生的將敘利亞以及其他戰亂地區加進感染區域白名單的操作更得了“俠盜”之名。

外界對這個神秘團伙有過多種猜測，最主流的一種是病毒作者可能為俄羅斯人。因為 GandCrab 如果監測到電腦系統使用的是俄語系語言，會停止入侵。

首次出現于2018年1月的 GandCrab 勒索病毒，在短短的一年多時間內經歷了多個版本的更新迭代。傳播感染方式多種多樣，使用的技術也不斷升級。電腦一旦被感染，病毒會對磁盤內的文件進行加密并提示支付贖金進行解密。

GrandCrab V 5.2版本所使用的語言，主要是中文、英文以及韓文，說明這三國已經成為其重要的攻擊目標。根據國家網絡與信息安全信息通報中心監測，GandCrab V5.2 自 2019 年 3 月 11 日開始在中國肆虐，攻擊了上千臺政府、企業以及相關科研機構的電腦。

據星球日報報道，GandCrab V5.2 主要通過郵件形式攻擊。

攻擊者會向受害人郵箱發送一封郵件，主題為“你必須在 3 月 11 日下午 3 點向警察局報到！”，發件人名為“Min，Gap Ryong”，郵件附件名為“03-11-19.rar”。

一旦受害者下載并打開該附件，GandCrab V5.2 在運行后將對用戶主機硬盤數據全盤加密，并讓受害者訪問特定網址下載 Tor 瀏覽器，隨后通過 Tor 瀏覽器登錄攻擊者的加密貨幣支付窗口,要求受害者繳納贖金。

除此之外， GandCrab V5.2 還可能通過 RDP 和 VNC 擴展攻擊影響更多電腦，還有可能利用 CVE-2019-7238(Nexus Repository Manager 3 遠程代碼執行漏洞)  以及 weblogic 漏洞進行傳播。

每每勒索病毒爆發后都會各種標題黨，有的說“不可破解”，有的說“已被破解”。到底破沒破？還真不一定，瑞星副總裁唐威表示，絕大多數勒索病毒加密文件后都不能恢復。

如果針對勒索病毒威脅程度，進行星級分類：

★ ：沒有加密文件，只設置開機密碼或者MBR密碼等；

★★ ：加密文件，使用對稱算法，并且密鑰硬編碼在程序中，可輕松解密文件；

★★★ ：加密文件，使用對稱算法，理論上可以解密，但是由于各種原因，例如本地不存儲密鑰，密鑰上傳到攻擊者服務器等，無法獲取密鑰；

★★★★: 加密文件，使用非對稱算法在沒有攻擊者的私鑰的情況下無法解密；

★★★★★: 除上述威脅外，具有蠕蟲傳播功能，會感染網絡中的其它機器。

三顆星（包括三星）以上的勒索病毒加密文件后一般可以進行恢復，高于三星、采用非對稱加密算法的勒索病毒基本無法恢復。

至于同樣使用了非對稱加密算法的 GandCrab V5.1為什么也可以恢復，是因為羅馬尼亞警方抓到了病毒作者，找到了病毒位于暗網的控制服務器并獲取了解密密鑰。于是，各大安全公司利用密鑰開發出 GandCrab 勒索病毒的解密工具，幫助用戶恢復被加密文件。

慘還是用戶慘，資料被鎖就算了，遇到不”俠盜“的黑客團伙，交了贖金可能也找不回資料。更何況還有些渾水摸魚的騙子公司打著可以破解勒索病毒的稱號收錢斂財。

所以，對于用戶來說，備份比什么都管用。同樣，安全專家也給出了一些應對 GandCrab V5.2 的建議：

1. 不要打開來歷不明的郵件附件；

2. 及時安裝主流殺毒軟件，升級病毒庫，對相關系統進行全面掃描查殺；

3、啟用防火墻，關閉445、135、139等不必要的端口，不要在公網上直接暴露遠程桌面服務(RDP，默認監聽端口3389)，如運維需要，確保只能登錄VPN后才能訪問；
4、相關服務器設置符合密碼復雜度要求的強口令，有條件的客戶應部署應用防火墻或者漏洞掃描設備，及時發現和阻止通過漏洞進行的攻擊；
5、盡快備份數據并定期進行備份；
6、部署優炫操作系統增強系統用于主機加固抵抗勒索病毒。

7、對已感染主機或服務器采取斷網措施，防止病毒擴散蔓延。

雷鋒網參考來源：星球日報

雷鋒網

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。