GarrantyDecrypt變種出現：「我是一個沒有感情的勒索病毒」

最近，360安全大腦監測到一款GarrantyDecrypt勒索病毒的新變種開始在國內傳播。該勒索病毒通過RSA結合salsa20對文件進行加密，被加密的文件後綴會被修改為「NOSTRO」。

根據360安全大腦的監測，該勒索病毒主要通過爆破遠程桌面弱口令，遠程登錄後手動投毒進行傳播。

「一個沒有感情的殺手」：無差別攻擊

近幾年各類勒索病毒層出不窮，雖然目的都是勒索錢財，但卻各有各的風格，而這款GarrantyDecrypt的變種就彷彿一個「沒有感情的殺手」：加密過程嚴格遵守規則，且不區分文件類型，所有文件都不會放過！

具體來說，就是該病毒在每次加密一個文件之前，都會使用CryptGenRandom介面生成一個隨機數做為密鑰，這樣就保證了「一個文件一個密鑰」。同時，在加密文件後該勒索病毒會立即銷毀內存中的密鑰信息，避免用戶在中毒後通過內存找出密鑰信息來解密文件。

如此一番「斬草除根」的無差別攻擊之後，中招用戶便很難實現自救。而攻擊者在完成加密之後，會在文件夾下創建#RECOVERY_FILES#.txt文件，留下勒索信息，要求用戶聯繫對方。

360提醒管理員：伺服器仍是重點目標

針對伺服器的勒索病毒攻擊依然是當下勒索病毒的一個主要方向，所以企業需要加強自身的信息安全管理能力——尤其是弱口令、漏洞、文件共享和遠程桌面的管理，以應對勒索病毒的威脅。在此，360安全專家建議廣大伺服器管理員：

1. 多台機器，不要使用相同的賬號和口令

2. 登錄口令要有足夠的長度和複雜性，並定期更換登錄口令

3. 重要資料的共享文件夾應設置訪問許可權控制，並進行定期備份

4. 定期檢測系統和軟體中的安全漏洞，及時打上補丁。

5. 定期到伺服器檢查是否存在異常。查看範圍包括：

a) 是否有新增賬戶

b) Guest是否被啟用

c) Windows系統日誌是否存在異常

d) 殺毒軟體是否存在異常攔截情況

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！