腾讯安全：GandCrab 5.2病毒再“作妖” 伪装升级程序攻击WinRAR用户

自2018年诞生以来，GandCrab家族在国内疯狂扩张，逐渐成为WannaCry之后最为活跃的勒索病毒之一。在过去的一年，该病毒先后利用各种攻击手段、多种传播渠道对我国多个政企发起攻击，致使多家政企机构遭受到不可逆转的损失。

近期，腾讯安全御见威胁情报中心再次监测捕捉到，GandCrab 5.2勒索病毒利用WinRAR漏洞（CVE-2018-20250，系unacev2.dll代码库高危漏洞）进行攻击案例。攻击者疑似将病毒伪装成升级程序，当未修复漏洞的受害者在本地计算机尝试解压文件后，便会触发漏洞利用，病毒母体则被进一步释放到启动目录中。一旦用户重启或重新登录系统，病毒将自动运行加密用户系统中的所有数据文件，导致数据库文件被加密破坏，严重威胁企业和个人用户的数据文件安全。

（图：GandCrab 5.2病毒解压时，攻击文档会向开机启动目录释放update.exe）

据腾讯安全技术专家介绍，此次GandCrab 5.2勒索病毒攻击目标锁定在未修补WinRAR软件压缩漏洞的用户身上。攻击者主要利用ACE文件验证逻辑绕过漏洞（CVE-2018-20250）进行传播，通过诱使用户使用WinRAR打开恶意构造的压缩包文件，将恶意代码写入系统启动目录或者写入恶意dll劫持其他软件进行执行，实现对用户主机的任意代码执行攻击，最终会加密系统中的多种类型文件并添加.uhymsoofa随机扩展后缀加密文件。

（图：勒索说明文档 ）

今年2月21日，WinRAR系列任意代码执行漏洞已被国家信息安全漏洞共享平台（CNVD）收录，并将其综合评级为“高危”。据了解，该漏洞不仅仅存在于WinRAR 5.7之前的版本，多款支持ACE解压操作的工具软件均受影响。另外该漏洞系列攻击原理已正式公开，相关WinRAR软件等压缩类工具厂商已升级最新版本修复该漏洞。

针对此次GandCrab 5.2勒索病毒利用漏洞攻击事件，腾讯安全技术专家提醒，建议尽快将WinRAR等工具软件升级到最新版本以修复漏洞，不要轻易下载来历不明的压缩文件，可有效防御攻击者入侵。

作为技术实力派的代表，GandCrab 5.2勒索病毒在安全圈素有“进攻万花筒”的标签。自被曝光以来，GandCrab勒索家族先后历经几次大版本迭代升级，在国内主要利用垃圾邮件群发、鱼叉定向攻击、网站挂马、RDP爆破，VNC爆破、感染移动设备，并配置自动播放模式传播等攻击手段。此外，该家族变种类型速度极快，一般对常规的杀毒软件具有较强的免疫性，对主流依靠特诊检测的安全产品是一个极大的挑战。

为避免此类攻击事件再次发生，腾讯安全反病毒实验室负责人马劲松提醒广大企业用户，建议尽快升级压缩工具软件，或手动删除压缩工具目录下的unacev2.dll文件；尽量关闭不必要的端口和文件共享；采用高强度的密码，避免使用弱口令，并定期更换密码；对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

同时，腾讯安全专家建议终端以及服务器应部署专业安全防护软件，例如在Web服务器部署腾讯云等具备专业安全防护能力的云服务，全面增强企业网络抵御攻击威胁的能力，以及在全网安装御点终端安全管理系统。目前，腾讯御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

（图：腾讯御点终端安全管理系统）