騰訊安全：GandCrab 5.2病毒再“作妖” 偽裝升級程序攻擊WinRAR用戶

自2018年誕生以來，GandCrab家族在國內瘋狂擴張，逐漸成為WannaCry之后最為活躍的勒索病毒之一。在過去的一年，該病毒先后利用各種攻擊手段、多種傳播渠道對我國多個政企發起攻擊，致使多家政企機構遭受到不可逆轉的損失。

近期，騰訊安全御見威脅情報中心再次監測捕捉到，GandCrab 5.2勒索病毒利用WinRAR漏洞（CVE-2018-20250，系unacev2.dll代碼庫高危漏洞）進行攻擊案例。攻擊者疑似將病毒偽裝成升級程序，當未修復漏洞的受害者在本地計算機嘗試解壓文件后，便會觸發漏洞利用，病毒母體則被進一步釋放到啟動目錄中。一旦用戶重啟或重新登錄系統，病毒將自動運行加密用戶系統中的所有數據文件，導致數據庫文件被加密破壞，嚴重威脅企業和個人用戶的數據文件安全。

（圖：GandCrab 5.2病毒解壓時，攻擊文檔會向開機啟動目錄釋放update.exe）

據騰訊安全技術專家介紹，此次GandCrab 5.2勒索病毒攻擊目標鎖定在未修補WinRAR軟件壓縮漏洞的用戶身上。攻擊者主要利用ACE文件驗證邏輯繞過漏洞（CVE-2018-20250）進行傳播，通過誘使用戶使用WinRAR打開惡意構造的壓縮包文件，將惡意代碼寫入系統啟動目錄或者寫入惡意dll劫持其他軟件進行執行，實現對用戶主機的任意代碼執行攻擊，最終會加密系統中的多種類型文件并添加.uhymsoofa隨機擴展后綴加密文件。

（圖：勒索說明文檔 ）

今年2月21日，WinRAR系列任意代碼執行漏洞已被國家信息安全漏洞共享平臺（CNVD）收錄，并將其綜合評級為“高危”。據了解，該漏洞不僅僅存在于WinRAR 5.7之前的版本，多款支持ACE解壓操作的工具軟件均受影響。另外該漏洞系列攻擊原理已正式公開，相關WinRAR軟件等壓縮類工具廠商已升級最新版本修復該漏洞。

針對此次GandCrab 5.2勒索病毒利用漏洞攻擊事件，騰訊安全技術專家提醒，建議盡快將WinRAR軟件等壓縮類工具升級到最新版本以修復漏洞，不要輕易下載來歷不明的壓縮文件，可有效防御攻擊者入侵。

作為技術實力派的代表，GandCrab 5.2勒索病毒在安全圈素有“進攻萬花筒”的標簽。自被曝光以來，GandCrab勒索家族先后歷經幾次大版本迭代升級，在國內主要利用垃圾郵件群發、魚叉定向攻擊、網站掛馬、RDP爆破，VNC爆破、感染移動設備，并配置自動播放模式傳播等攻擊手段。此外，該家族變種類型速度極快，一般對常規的殺毒軟件具有較強的免疫性，對主流依靠特診檢測的安全產品是一個極大的挑戰。

為避免此類攻擊事件再次發生，騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業用戶，建議盡快將WinRAR軟件等壓縮類工具升級到最新版本，或手動刪除壓縮工具目錄下的unacev2.dll文件；盡量關閉不必要的端口和文件共享；采用高強度的密碼，避免使用弱口令，并定期更換密碼；對沒有互聯需求的服務器/工作站內部訪問設置相應控制，避免可連外網服務器被攻擊后作為跳板進一步攻擊其他服務器。

同時，騰訊安全專家建議終端以及服務器應部署專業安全防護軟件，例如在Web服務器部署騰訊云等具備專業安全防護能力的云服務，全面增強企業網絡抵御攻擊威脅的能力，以及在全網安裝御點終端安全管理系統。目前，騰訊御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控，以及策略管控等全方位的安全管理功能，可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。

（圖：騰訊御點終端安全管理系統）