一、概要

GandCrab勒索病毒是2018年最為活躍的勒索病毒家族之一，最早于2018年1月首次出現(xiàn)，并在短期內(nèi)，密集推出 V1.0、V2.0、V3.0、V4.0、V4.1、V4.2、V4.3、V4.4等多個(gè)更新版本，近期又出現(xiàn)最新變種GandCrab V5.0。該病毒主要通過(guò)垃圾郵件或網(wǎng)站捆綁軟件等方式進(jìn)行傳播，感染病毒后，電腦文件將被加密為隨機(jī)5位數(shù)（如“.dvgmd”）后綴名文件。

參考鏈接：https://sensorstechforum.com/gandcrab-v-5-0-ransomware-remove-restore/

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

未及時(shí)更新系統(tǒng)補(bǔ)丁或未采取終端安全防護(hù)措施的Windows系統(tǒng)（包括個(gè)人版和服務(wù)器版）。

四、排查和處置方法

排查方法：

1. 檢查系統(tǒng)是否安裝了最近系統(tǒng)漏洞補(bǔ)丁包；

2. 檢查系統(tǒng)是否開(kāi)啟了3389端口的RDP網(wǎng)絡(luò)共享協(xié)議且使用了弱口令；

3. 檢查系統(tǒng)是否開(kāi)啟了445端口的SMB網(wǎng)絡(luò)共享協(xié)議，或者不必要的共享端口。

處置方案：

1. 隔離感染主機(jī)：已中毒計(jì)算機(jī)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡;

2. 切斷傳播途徑：關(guān)閉3389、445、135、139等高危端口，關(guān)閉異常的外聯(lián)訪問(wèn)；

3. 使用復(fù)雜密碼：RDP遠(yuǎn)程服務(wù)器等連接盡量使用復(fù)雜密碼，不要使用簡(jiǎn)單密碼。

五、安全建議

1. 不從不明網(wǎng)站下載相關(guān)的軟件，不要點(diǎn)擊來(lái)源不明的郵件以及附件；

2. 及時(shí)給電腦打補(bǔ)丁，修復(fù)漏洞；

3. 修改密碼：設(shè)置主機(jī)賬號(hào)密碼為高強(qiáng)度的密碼；

4. 對(duì)重要的數(shù)據(jù)文件定期進(jìn)行非本地備份；

5. 安裝專業(yè)的第三方反病毒軟件（推薦使用華為云市場(chǎng)軟件）；

6. 關(guān)閉或通過(guò)安全組限制不必要的文件共享權(quán)限以及端口，如：445、135、139、3389等。

注意：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。