GandCrab是一个病毒家庭，该勒索病毒首次出现于2018年1月，在短短几个月时间里就历经了V1.0、V2.0、V3.0、V4.0、V5.0等几个大的版本的更新。

近期，迪普科技安全研究院监测到了GandCrab勒索病毒的GandCrab5.0.4、GandCrab5.0.5变种。目前国内部分医疗行业已经感染了此病毒，影响到了医院的正常业务。

病毒详情

此次的勒索病毒变种，与之前的GandCrab5.0.3版本极为相似，主要是通过以下几种方式进行感染传播：RDP爆破、垃圾邮件、安全漏洞、垃圾网站挂马，并会对被感染的计算机系统上的文件进行加密，加密成0-9个随机字母扩展名的文件，并要求用户支付赎金才能恢复。

当被GandCrab病毒感染后

本地文件会被加密，并生成一个勒索信息文件，相关目录下显示的内容如下：

生成的勒索信息文件：

最后桌面背景被修改，用来提示用户电脑已被感染，需要缴纳赎金恢复文件：

防护建议

?迪普科技安全研究院提醒广大用户：

针对已经出现勒索现象的用户，由于暂时没有解密工具，建议尽快对感染主机进行断网隔离。

此外，可参考如下建议提高防御能力：

1

由于GandCrab会利用RDP（远程桌面协议），建议关闭3389端口，如果确实有工作业务需要，建议进行白名单配置，只允许白名单内的IP连接登陆。

2

尽量关闭不必要的文件共享。

3

定期更换帐户密码，采用高强度的密码，避免使用弱口令密码，同时避免使用统一的密码。

4

GandCrab通过钓鱼邮件和挂马网站进行传播，因此请不要点击来源不明的邮件附件，不从不受信的网站下载软件。

5

对重要文件和数据进行定期异地备份。

迪普科技

解决方案

迪普科技安全研究院监测到GandCrab病毒新型变种后，迅速采取了应急措施。

1

目前DPtech IPS2000、FW1000可对GandCrab病毒进行有效防护，对应特征库版本号如下：

◆产品系列：

IPS2000，FW1000

◆病毒库版本：AV-R1.4.457

2

使用DPtech慧眼安全检测产品资产盘点功能，快速识别出现网开启高危端口的资产；使用安全漏洞检测功能识别出易被勒索病毒感染的高危风险资产，并根据相应的修复建议进行安全加固。

3

在接入层部署DPtech LSW3600-SE系列自安全交换机，可使网络接入主动识别勒索病毒传播行为并实时处置，天然防止勒索病毒传播；可视化定位病毒传播源，帮助管理员快速处理内网威胁。

4

迪普科技官网特征库下载地址：

http://www.dptech.com/down.php?3