GandCrab v5勒索軟體利用ALPC任務排程程式漏洞
GandCrab v5勒索軟體已開始使用最近披露的任務計劃程式ALPC漏洞獲取受感染計算機的系統許可權。微軟在2018年9月的週二補丁日修補了這個漏洞,但是據顯示計算機仍舊容易受到EternalBlue影響,有些企業的安裝更新過程會很慢。
任務計劃程式ALPC漏洞是由Twitter上的安全研究人員揭露的0 day漏洞。使用時,該漏洞將允許使用系統許可權執行可執行檔案,允許以完全管理許可權執行命令。
GandCrab對此漏洞的使用最初是由名為 ofollow,noindex">Valthek 的惡意軟體分析人員發現的,他在Twitter上釋出了相關內容。Valthek告訴BleepingComputer,這個漏洞與安全研究員Kevin Beaumont在他的 Github repository 中釋出的漏洞相同。
GandCrab的IDA螢幕截圖顯示了與ALPC漏洞相同的字串
Valthek進一步告訴BleepingComputer,這個漏洞很可能用於執行系統級命令,例如清除Shadow Volume副本以及動態建立勒索軟體的桌布。
Valthek在一些變體中也看到了一些奇怪的行為。例如,在一個變體中,勒索軟體無法在Windows XP和Windows Vista上執行,但此後已在新版本中得到解決。此外,新版本已從HTML便條切換為文字贖金便條。
GandCrab疫苗更新以支援v5
Valthek還發布了一種疫苗,當它在計算機上執行時,可防止被GandCrab感染。雖然這可能會保護一些使用者,但應該提醒的是,GandCrab開發人員可以輕鬆地更改他們的程式以繞過這種疫苗。
I update my vaccine against #GandCrab version 5.The old vaccine remains working but put a auto generated wallpaper, now the vaccine will search for it and remove if found it and put a empty wallpaper. https://t.co/cswC3PFW5L @BleepinComputer @yassine_lemmou @MarceloRivero
— Valthek (@ValthekOn) September 25, 2018
下面你可以看一下執行疫苗然後安裝GandCrab後發生的事情。由於勒索軟體無法執行,因此無法在桌布中輸入正確的資訊。