近 日， 安 天 CERT（ 安 全 研 究 與 應(yīng) 急處理中心）在梳理網(wǎng)絡(luò)安全事件時(shí)發(fā)現(xiàn) GandCrab 勒索木馬已經(jīng)出現(xiàn)了第五個(gè)版本， GandCrab V5。其擁有一些明顯的變化，最 明顯的就是它使用了 5 個(gè)隨機(jī)字符作為加密 文件的擴(kuò)展名并且增加了 html 格式的勒索信 息。

     研究人員發(fā)現(xiàn)，GandCrab V5 勒索軟件 目前正通過(guò)廣告件進(jìn)行傳播，樣本運(yùn)行后會(huì) 重定向到帶有 Fallout 漏洞利用工具包的網(wǎng)站。 由于漏洞利用工具包利用訪問者系統(tǒng)中的漏 洞來(lái)安裝惡意代碼，受害者將在不知情的情 況下被感染，直到他們發(fā)現(xiàn)加密文件和勒索 信息為止。

     GandCrab V5 運(yùn) 行 后， 將 掃 描 計(jì) 算 機(jī)和任何網(wǎng)絡(luò)共享文件進(jìn)行加密。掃描網(wǎng)絡(luò)共 享時(shí)，它會(huì)枚舉網(wǎng)絡(luò)上的所有共享，而不僅 僅是映射的驅(qū)動(dòng)器。當(dāng)遇到目標(biāo)文件時(shí)，它 將加密文件，然后附加一個(gè)隨機(jī)的 5 個(gè)字符 的擴(kuò)展名。在加密文件時(shí)，勒索軟件還會(huì) 創(chuàng) 建 名 為 [extension] -DECRYPT.html 和 [EXTENSION] -DECRYPT.txt 的勒索信息， 其中包括文件加密的說(shuō)明以及如何訪問 Tor 網(wǎng)站以支付贖金的說(shuō)明，該域名為 http:// gandcrabmfe6mnef.onion。受害者通過(guò)鏈接訪 問 Tor 網(wǎng)站后，會(huì)顯示贖金金額以及如何支 付以獲取解密工具的說(shuō)明。目前勒索金額為 價(jià)值 800 美元的達(dá)世幣（DASH）。

      安天 CERT 提醒廣大網(wǎng)絡(luò)使用者，要 提高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及時(shí)進(jìn)行系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非正 版的應(yīng)用軟件、非官方游戲、注冊(cè)機(jī)等。收 發(fā)郵件時(shí)要確認(rèn)收發(fā)來(lái)源是否可靠，更加不 要隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址，不要輕 易下載來(lái)源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提 高警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng)成及時(shí)更新 操作系統(tǒng)和軟件應(yīng)用的好習(xí)慣。確保沒有任 何計(jì)算機(jī)運(yùn)行直接連接到 Internet 的遠(yuǎn)程桌 面服務(wù)，而是將運(yùn)行遠(yuǎn)程桌面的計(jì)算機(jī)放在 VPN 之后，只有使用 VPN 才能訪問它們。 同時(shí)也要做好文件的備份，以防止勒索軟件 加密重要文件后無(wú)法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該類 惡意代碼的檢出。