【科讯】勒索病毒GandCrab4.3：可释放挖矿木马和勒索病毒

本篇文章1075字，读完约3分钟

最近，腾讯智能安全御见威胁信息中心拦截了公司LAN专业的威胁病毒gandcrab，发现非法黑客暴力破解tomcat服务器的弱密码，入侵成功后，对高价值目标进行Gand CRB 对通常的目标运行开采特洛伊木马，最大限度地利用入侵的目标互联网非法获利，到目前为止，gandcrab胁迫病毒开采，收获18.6个门罗货币，折合人民币约1.5万元

(图:病毒母体nsis安装套件)

腾讯安全技术专家表示，这次入侵被tomcat manager后台的弱密码炸毁，爆破成功后，黑客进入了包括jsp webshell在内的war包，webshell拥有最高权限。 一旦得到攻击，黑客就将其作为跳板，继续向内部网扩散。 扩散的方法通常是使用nsa攻击工具包或1433、3389端口暴力解密弱密码。 然后，非法黑客选择高价值的目标下载威胁病毒，对于通常的系统，挖掘矿山木马获利。

tomcat服务器是免费的开源web应用服务器，是轻量级应用服务器，在中小型系统和并发访问的客户不多的情况下通常采用，tomcat 5支持最新的servlet 2.4和jsp 2.0规格 tomcat技术先进，性能稳定，而且免费，因此迷恋java爱好者，被一些软件开发者认可，成为现在比较流行的web应用服务器。

在虚拟货币盛行的今天，网络恐吓病毒层出不穷，gandcrab在许多病毒中卓越地引起了各界的关注。 gandcrab家族病毒今年年初首次出现，通过seamless恶意广告软件、水坑攻击、邮件分发、grandsoft漏洞利用工具包分发，目标锁定为世界货币，平均每两个月变种一次

与以前的变种不同，最初通过钓鱼软件和水坑攻击，威胁病毒gandcrab 4.3，首先从公司的web服务器开始，通过tomcat manager后台的弱密码爆破攻击，使用salsa20加密 该病毒排除一些系统目录和配置文件不加密，其他文件被加密，加密文件为krab

为了不再次发生这种攻击，腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马强松注意广大客户，在公司网管中调整tomcat后台管理设置，后台默认页面路径 尽可能关闭不需要的端口，对3389端口进行白名单配置。 使用强密码，不使用弱密码，定期更改密码。 服务器密码建议使用强度高、不规则的密码。 此外，强制要求每个服务器管理不同的密码。

(图:腾讯安全公司级产品控制点)

另外，马强松建议设立公司相关的安全监督管理部门，制定相关应对措施，优先采用终端杀毒软件，增强防御方案的完整性和立体性，在受到攻击时更有效地处理问题，将公司损失降到最低