近期,GandCrab勒索家族在国内呈现爆发趋势,其GandCrab5.0.4最新变种已造成国内部分医疗行业出现业务瘫痪,影响医院正常看病治疗。提醒广大用户做好防御措施,警惕GandCrab5.0.4。
病毒名称:GandCrab5.0.4变种
病毒性质:勒索病毒
影响范围:国内已有多个医疗机构接连受感染
危害等级:高危
传播方式:通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式传播,不具备内网传播能力。
病毒分析
病毒描述
今年以来,GandCrab勒索家族持续活跃,复旦解密第一时间预警了GandCrab4.0、GandCrab5.0、GandCrab5.0.3等变种,不久前刚发预警的GandCrab5.0.3,依然非常活跃,福建、浙江、山西、吉林、贵州、天津多省份均有感染案例。
近日,我们发现GandCrab5.0.3已经升级到版本GandCrab5.0.4,并有多家医疗机构因最新变种导致业务瘫痪。
该变种同样采用RSA+AES加密算法,将系统中的大部分文档文件加密为随机后缀名的文件,然后对用户进行勒索。
最新变种仍然主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起***,但会加密局域网共享目录文件夹下的文件。
本次5.0.4变种,***行为与5.0.3变种相似,具体可参考:紧急预警:流行勒索病毒GandCrab再爆V5.0.3变种!