关于GandCrab勒索病毒预警与处理方法

GandCrab勒索病毒是最近一段时间较为流行的勒索病毒家族之一，当前其最新版本已经更新到5.0.4，最新变种已造成国内部分医疗行业出现业务瘫痪,影响医院正常的工作秩序。在去年9月份发现GandCrab勒索病毒的传播开始快速增长，不少Windows服务器上的文件被加密。目前该勒索病毒正通过多个已知漏洞进行传播，其中在19年还增加了对Fallout Exploit漏洞利用工具的使用。

最新变种仍然主要通过RDP爆破、邮件、漏洞、垃圾网站挂马等方式进行传播,其自身不具备感染传播能力,不会主动对局域网的其他设备发起攻击,但会加密局域网共享目录文件夹下的文件。.lock和[5-10随机字母]文件扩展名，这是最新版本使用的。

案例分享

2019年2月接到长春某生产公司，打电话给我们国瑞IT，经过深信服厂家介绍知道我们公司在行业里头解决这些问题，公司当即派遣周边工程师赶赴现场！

工程师到达现场后分析了一下这是GandCrab5.0.4勒索病毒加密随机5--10字母，后缀为BIAQK勒索病毒文件，表示可以解密，签订合同后现场进行解密，服务器耗时2个小时全部修复完成。客户非常高兴以后一定会注意安全防御，容灾备份，客户让我们进行安全建议的提交以及帮他们进行做一套备份，后续的备份方案以及实施又进行了交接！

针对该家族的勒索病毒,可以通过以下手段尽可能地预防

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、不要点击来源不明的邮件附件,不从不明网站下载软件。

4、尽量关闭不必要的文件共享权限。

5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。

在我们工作跟生活中，我们技术员，程序员，网管，都非常努力的工作，但还是免不了中招，看到文件都被解密了，工作无法正常运行，大部分是比较慌乱的，希望用最短的时间处理问题，病急乱投医的现象经常发生。所以当发现中招的时候，千万不要惊慌，从容应对！那具体该用什么行动来处理当前的问题？国瑞IT是由多名奋斗在一线的服务器安全专家、网络安全专家、数据库安全专家、容灾备份专家组成的专业勒索病毒解密团队。目前主营勒索病毒解密、容灾备份、服务器运维等业务。

遭遇勒索病毒，千万不要惊慌，第一步：切断网络   第二步：安装360或其他杀毒软件进行杀毒操作，防止病毒原体残留，感染其他介质  第三步：先把已加密的重要文件，备份至移动硬盘！！！

很多的人都喜欢用恢复软件尝试文件，其实这样做是徒劳的，不仅无法恢复，反而会损坏文件本身。最佳方案是根据我上面所说的来做，以及寻找专业数据恢复公司，才是最佳方案。

国瑞IT长期以来从事大数据分析及软件开发，针对勒索病毒我可提供解决方案：