一、概要

今年以來，GandCrab勒索病毒頻繁出現(xiàn)變種版本（GandCrab4.0、GandCrab5.0、GandCrab5.0.3），近日，又出現(xiàn)最新版本GandCrabV5.0.4，已造成國內(nèi)多家醫(yī)療機構(gòu)內(nèi)網(wǎng)感染。該病毒利用RDP口令暴力破解傳播，一旦入侵網(wǎng)絡(luò)系統(tǒng)，將在主機桌面生成一張圖片，并將主機存儲的數(shù)據(jù)文件加密，文件后綴名為隨機生成的數(shù)字和字母，請各位租戶注意防范。

參考鏈接： https://sensorstechforum.com/remove-gandcrab-v5-0-4-cryptovirus-restore-files/

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急。）

三、影響范圍

未及時更新系統(tǒng)補丁或未采取終端安全防護措施的Windows系統(tǒng)（包括個人版和服務(wù)器版）。

四、排查和處置方法

排查方法：

1. 檢查系統(tǒng)是否安裝了最近系統(tǒng)漏洞補丁包；

2. 檢查系統(tǒng)是否開啟了3389端口的RDP網(wǎng)絡(luò)共享協(xié)議，查看日志是否有暴力破解日志；

3. 檢查系統(tǒng)是否開啟了445端口的SMB網(wǎng)絡(luò)共享協(xié)議或者不必要的系統(tǒng)服務(wù)端口；

4. 檢查系統(tǒng)是否存在隨機后綴名加密文件；

5. 檢查桌面是否存在來歷不明的圖片。

處置方案：

1. 隔離感染主機：已中毒計算機盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡;

2. 切斷傳播途徑：關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口，關(guān)閉異常的外聯(lián)訪問；

3. 查找攻擊源：手工抓包分析或借助態(tài)勢感知類產(chǎn)品分析，確認全網(wǎng)感染數(shù)量；

4. 查殺病毒：可使用以下工具進行查殺（http://edr.sangfor.com.cn/tool/SfabAntiBot.zip），或者可使用華為云防病毒工具進行查殺（推薦使用華為云市場軟件）；

5. 設(shè)置復(fù)雜密碼：如果主機賬號使用簡單密碼，建議重置為高強度的密碼。

五、安全建議

1. 不從不明網(wǎng)站下載相關(guān)的軟件，不要點擊來源不明的郵件以及附件；

2. 及時給電腦打補丁，修復(fù)漏洞；

3. 修改密碼：設(shè)置主機賬號密碼為高強度的密碼；

4. 對重要的數(shù)據(jù)文件定期進行非本地備份；

5. 安裝專業(yè)的第三方反病毒軟件（推薦使用華為云市場軟件）；

6. 關(guān)閉或通過安全組限制不必要的文件共享權(quán)限以及端口，如：445、3389等。

注意：修復(fù)漏洞前請將資料備份，并進行充分測試。