【比特幣】比特幣勒索病毒再來中國 360拿它也沒轍

“俠盜病毒”來到中國，騰訊、360都拿它沒轍。

2017 年，WannaCry 比特幣勒索病毒攻擊了包括中國在內的 150 多個國家，造成損失超 80 億美元。此后各類勒索病毒(NotPetya、Bad Rabbit 等)雖層出不窮，但影響范圍始終有限。

近日出現的一款名為 GandCrab V5.2 加密貨幣勒索病毒，似乎大有再現 WannaCry “昔日榮光”的跡象，目前已在中國攻擊了數千臺政府以及企業的電腦。

所謂勒索病毒，即設法讓你的電腦中毒，鎖死內部文件，要求用戶通過加密貨幣支付贖金才會解鎖。

包括慢霧、DVP 在內的眾多安全團隊都向 Odaily星球日報表示，GandCrab V5.2 目前不可破解，只能做好防御。

GandCrab 團隊不僅技術高超，而且“盜亦有道”：既信守承諾給贖金就“解毒”，還曾“人道地”將敘利亞等戰亂地區排除在感染地區之外，因而曾被人稱為“俠盜”病毒。不過，其卻將中國、韓國視為其重要的攻擊目標。GandCrab 幕后團隊也通過出售病毒獲得了 285 萬美元收益。

近年來針對加密貨幣的攻擊日益增多，區塊鏈安全事件頻發。除了勒索病毒，惡意挖礦也一直不甘示弱。如果說，2017 年攻擊是以“勒索病毒”為主，2018 年以“惡意挖礦”為主。現在，勒索病毒會否再次卷土重來?

上千臺政府、機構電腦感染

新型的比特幣勒索病毒再次肆虐。

根據國家網絡與信息安全信息通報中心監測，GandCrab V5.2 自 2019 年 3 月 11 日開始在中國肆虐，攻擊了上千臺政府、企業以及相關科研機構的電腦。

截止發稿前，湖北省宜昌市夷陵區政府、中國科學院金屬研究所、云南師范大學以及大連市公安局等政府、企業、高校均在其官網發布了防范病毒攻擊的公告。

(夷陵區政府官網截圖)(夷陵區政府官網截圖)

根據網絡安全分析師 David Montenegro 所言，GandCrab V5.2 勒索病毒目前已經感染了數千臺中國電腦，接下來還將通過遠程攻擊的方式影響中國更多的電腦。

手段：垃圾郵件攻擊

GandCrab V5.2 又是如何讓受害者電腦“中毒”的呢?據了解，該勒索病毒目前主要通過郵件形式攻擊。

攻擊者會向受害人郵箱發送一封郵件，主題為“你必須在 3 月 11 日下午 3 點向警察局報到!”，發件人名為“Min，Gap Ryong”，郵件附件名為“03-11-19.rar”。

一旦受害者下載并打開該附件，GandCrab V5.2 在運行后將對用戶主機硬盤數據全盤加密，并讓受害者訪問特定網址下載 Tor 瀏覽器，隨后通過 Tor 瀏覽器登錄攻擊者的加密貨幣支付窗口，要求受害者繳納贖金。

DVP 區塊鏈安全團隊認為，除了垃圾郵件投放攻擊， GandCrab V5.2 還有可能采用“網頁掛馬攻擊”。即除了在一些非法網站上投放木馬病毒，攻擊者還可能攻擊一些防護能力比較弱的正規網站，在取得網站控制權后攻擊登陸該網站的用戶。

另外，該病毒也有可能通過漏洞傳播，利用 CVE-2019-7238

(Nexus Repository Manager 3 遠程代碼執行漏洞) 以及 weblogic 漏洞進行傳播。

“攻擊者會對受害者電腦里面的文件進行了不可逆加密，要想解開，只能依靠攻擊者給你特定的解密密鑰。”慢霧安全團隊解釋說，受害者只有付款才能獲得特定密鑰。

不過，有時候也會發生受害者交了錢但攻擊者不給密鑰解鎖的情況，慢霧安全團隊認為攻擊者所屬團隊的聲譽高低可以作為一個判斷依據。

“勒索蠕蟲知名度越高，越有可能給你發密鑰，GandCrab 在暗網上的知名度還是很高的，口碑也不錯。”慢霧安全團隊說，“如果不發私鑰就會降低聲譽，其他被攻擊者就不會再打錢了。”

“關鍵是看，攻擊者是否給受害者提供了一個聯系渠道。” DVP 區塊鏈安全團隊告訴 Odaily星球日報，由于加密貨幣具有匿名性，攻擊者很難判定受害者是否進行了打幣操作，如果沒有溝通渠道，說明攻擊者根本無意解鎖受害電腦。

不可破解：地表最強的勒索病毒?

“目前根本沒有辦法直接破解，一旦被攻擊成功，如果電腦里有重要的資料，只能乖乖交錢領取私鑰破解。”包括慢霧、DVP 在內的眾多安全團隊都向 Odaily星球日報表示該病毒不可破解。

然而，Odaily星球日報發現在一些論壇上，出現了宣稱可以破解 GandCrab V5.2 的公司，條件是先付款，再破解。

“基本上都是騙子，都是一些皮包公司，根本沒有能力。”一家匿名的區塊鏈安全公司表示，“騰訊、360 等公司都破解不了，他們能破解?”

“一些團隊或個人宣稱可以破解 GandCrab V5.2 ，其實是‘代理’破解。”慢霧安全團隊解釋說，“他們收你的錢，幫你向勒索者支付加密貨幣，從而拿到解密密鑰(破解)。”

攻擊者來勢洶涌，一時之間破解不了木馬病毒，只能做好防御。宜昌市夷陵區政府也給出了一些應對之策，包括：

一是不要打開來歷不明的郵件附件;

二是及時安裝主流殺毒軟件，升級病毒庫，對相關系統進行全面掃描查殺;

三是在 Windows 中禁用U盤的自動運行功能;

四是及時升級操作系統安全補丁，升級 Web、數據庫等服務程序，防止病毒利用漏洞傳播;

五是對已感染主機或服務器采取斷網措施，防止病毒擴散蔓延。

不過，慢霧安全團隊指出，非 Windows 操作系統暫時并不會被感染。“GandCrab V5.2 蠕蟲目前只在 Windows 上運行，其他系統還不行。”

“強悍”的病毒，也讓團隊在安全圈里“小有名氣”。

GandCrab 勒索病毒誕生于 2018 年 1 月，并在隨后幾個月里，成為一顆“新星”。

該團隊的標簽之一是 “技術實力”強。

今年 2 月 19 日，Bitdefender 安全實驗室專家曾根據GandCrab自己給出的密鑰(后文會解釋原因)，研發出 GandCrab V5.1 之前所有版本病毒的“解藥”。

然而，道高一尺，魔高一丈。根據 zdnet 報道，今年 2 月 18 日，就在 Bitdefender 發布最新版本破解器的前一天，GrandCrab 發布了正肆虐版本(V5.2)，該版本至今無法破解。

目前在暗網中，GrandCrab 幕后團隊采用“勒索即服務”(“ransomware as-a-service” )的方式向黑客大肆售賣 V5.2 版本病毒。即由 GrandCrab 團隊提供病毒，黑客在全球選擇目標進行攻擊勒索，攻擊成功后 GrandCrab 團隊再從中抽取 30%-40% 的利潤。

“垃圾郵件制造者們，你們現在可以與網絡專家進行合作，不要錯失獲取美好生活的門票，我們在等你。”這是 GrandCrab 團隊在暗網中打出的“招商廣告”。

值得一提的是，GandCrab 是第一個勒索 Dash 幣的勒索病毒，后來才加了比特幣，要價 499 美元。根據 GandCrab 團隊 2018 年 12 月公布的數據，其總計收入比特幣以及 Dash 幣合計 285 萬美元。

“盜亦有道”的俠盜團隊?

這款病毒的團隊，另外標簽是“俠盜”。該標簽來源于 2018 年發生的“敘利亞密鑰”事件。

2018 年 10 月16 日，一位名叫 Jameel 的敘利亞父親在 Twitter 上發貼求助。Jameel 稱自己的電腦感染了 GandCrab V5.0.3 并遭到加密，由于無力支付高達 600 美元的“贖金”，他再也無法看到在戰爭中喪生的小兒子的照片。

GandCrab 勒索病毒制作者看到后，隨即發布了一條道歉聲明，稱其無意感染敘利亞用戶，并放出了部分敘利亞感染者的解密密鑰。

GandCrab 也隨之進行了 V5.0.5 更新，并將敘利亞以及其他戰亂地區加進感染區域的“白名單”。此外，如果 GandCrab 監測到電腦系統使用的是俄語系語言，也會停止入侵。安全專家據此猜測病毒作者疑為俄羅斯人。

一時之間，不少人對 GandCrab 生出好感，稱呼其為“俠盜”。

“ GandCrab 頗有些武俠小說中俠盜的意味，盜亦有道。”一位匿名的安全人員告訴 Odaily星球日報，“不過即使這樣，也不能說 GandCrab 的行為就是正當的，畢竟它對其他國家的人就沒有心慈手軟。”

根據騰訊安全團隊統計，GandCrab 受害者大部分集中在巴西、美國、印度、印度尼西亞和巴基斯坦等國家。并且，GrandCrab V 5.2 版本所使用的語言主要是中文、英文以及韓文，說明中國目前已經成為其重要的攻擊目標。

“一個黑客如果對一個區域的人沒有感情，那么作惡時就不會考慮這個區域的人的感受。”慢霧安全團隊解釋說，“在黑客看來，中國網絡空間積金至斗，所以對中國下手也就不足為奇。”【責任編輯/江小白】

(原標題：比特幣勒索病毒再來中國 360拿它也沒轍)

來源：Odaily星球日報

IT時代網(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創文章版權所有，未經授權，轉載必究。
創客100創投基金成立于2015年，直通硅谷，專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。

相關文章

炒股虧損300多萬，他制作勒索病毒索要比特幣，作案百余起后落網

【觀點】迷戀比特幣的區塊鏈依然稚嫩

發布詐騙廣告，“比特幣世紀騙局”17歲嫌犯被捕

比特幣成“貨幣” 美國有可能借此割全球“韭菜”嗎？