DCR:继 WannaCry 后,加密货币勒索程序 GandCrab 再度侵犯中国

原文标题:《放过叙利亚,不可破解的「侠盗病」来祸害中国了》作者:秦晓峰

「侠盗病」来到中国,腾讯、360都拿它没辙。

2017年,WannaCry比特币勒索病攻击了包括中国在内的150多个国家,造成损失超80亿美元。此后各类勒索病虽层出不穷,但影响范围始终有限。

近日出现的一款名为GandCrabV5.2加密货币勒索病,似乎大有再现WannaCry「昔日荣光」的迹象,目前已在中国攻击了数千台政府以及企业的电脑。

所谓勒索病,即设法让你的电脑中,锁死内部文件,要求用户通过Dash支付赎金才会解锁。

包括慢雾、DVP在内的众多安全团队都向笔者表示,GandCrabV5.2目前不可破解,只能做好防御。

GandCrab团队不仅技术高超,而且「盗亦有道」:既信守承诺给赎金就「解」,还曾「人道地」将叙利亚等战乱地区排除在感染地区之外,因而曾被人称为「侠盗」病。不过,其却将中国、韩国视为其重要的攻击目标。GandCrab幕后团队也通过出售病获得了285万美元收益。

近年来针对加密货币的攻击日益增多,区块链安全事件频发。除了勒索病,恶意挖矿也一直不甘示弱。如果说,2017年攻击是以「勒索病」为主,2018年以「恶意挖矿」为主。现在,勒索病会否再次卷土重来?

SOL、MATIC等此前被SEC列为证券的加密货币短时出现较大涨幅:金色财经报道,SOL、ADA、MATIC等此前被SEC列为证券的加密货币短时均出现较大涨幅。行情显示,SOL24小时涨幅16.75%,现报价25.92美元;ADA24小时涨幅14.77%,现报价0.33美元;MATIC24小时涨幅16.67%,现报价0.84美元;SAND24小时涨幅9.54%,现报价0.46美元;ATOM24小时涨幅6.27%,现报价9.63美元;FIL24小时涨幅6.29%,现报价4.54美元。[2023/7/14 10:53:45]

上千台政府、机构电脑感染

新型的比特币勒索病再次肆虐。

根据国家网络与信息安全信息通报中心监测,GandCrabV5.2自2019年3月11日开始在中国肆虐,攻击了上千台政府、企业以及相关科研机构的电脑。

截止发稿前,湖北省宜昌市夷陵区政府、中国科学院金属研究所、云南师范大学以及大连市局等政府、企业、高校均在其官网发布了遭受病攻击的公告。

夷陵区政府官网截图

根据网络安全分析师DavidMontenegro所言,GandCrabV5.2勒索病目前已经感染了数千台中国电脑,接下来还将通过等远程攻击的方式影响中国更多的电脑。

币安将 SUI 上市时间提前至今日 20:00:5月3日消息,币安公告称,Sui(SUI)上市将提前至北京时间 5 月 3 日 20:00,原定于 5 月 3 日 20:15。[2023/5/3 14:40:34]

手段:垃圾邮件攻击

GandCrabV5.2又是如何让受害者电脑「中」的呢?据了解,该勒索病目前主要通过邮件形式攻击。

攻击者会向受害人邮箱发送一封邮件,主题为「你必须在3月11日下午3点向警察局报到!」,发件人名为「Min,GapRyong」,邮件附件名为「03-11-19.rar」。

图片来自腾讯安全

一旦受害者下载并打开该附件,GandCrabV5.2在运行后将对用户主机硬盘数据全盘加密,并让受害者访问特定网址下载Tor浏览器,随后通过Tor浏览器登录攻击者的加密货币支付窗口,要求受害者缴纳赎金。

DVP区块链安全团队认为,除了垃圾邮件投放攻击,GandCrabV5.2还有可能采用「网页挂马攻击」。即除了在一些非法网站上投放木马病,攻击者还可能攻击一些防护能力比较弱的正规网站,在取得网站控制权后攻击登陆该网站的用户。

另外,该病也有可能通过漏洞传播,利用CVE-2019-7238(NexusRepositoryManager3远程代码执行漏洞)以及weblogic漏洞进行传播。

美众议院委员会发布稳定币法案草案:金色财经报道,美国众议院金融服务委员会周六在就稳定币举行听证会之前发布了具有里程碑意义的稳定币法案的讨论草案。该法案可在委员会的听证会页面上找到,它代表了2023年第一个重要的加密货币立法的动向。它为支付稳定币发行人创建了定义,呼应了前参议员Pat Toomey在2022年提出自己的稳定币法案时使用的一个术语。该法案还要求暂停由其他类型的代币支持的新稳定币,直到可以进行研究。该法案还呼吁联邦监管机构研究美联储发行的央行数字货币的潜在影响。

众议院金融服务小组委员会将于周三举行关于稳定币的听证会,与会者包括Circle的Dante Disparte、区块链协会的Jake Chervinsky、哥伦比亚大学教授Austin Campbell和纽约金融服务部主管Adrienne Harris。[2023/4/16 14:06:20]

「攻击者会对受害者电脑里面的文件进行了不可逆加密,要想解开,只能依靠攻击者给你特定的解密密钥。」慢雾安全团队解释说,受害者只有付款才能获得特定密钥。

不过,有时候也会发生受害者交了钱但攻击者不给密钥解锁的情况,慢雾安全团队认为攻击者所属团队的声誉高低可以作为一个判断依据。

报告:欧洲必须对数字商业模式更具吸引力才能增强欧洲竞争力:金色财经报道,支付服务领域领导者Worldline参与了题为“Tokenise Europe 2025:Initiative aims to drive tokenisation”的报告的编写。报告显示,欧洲必须对数字商业模式更具吸引力才能增强欧洲竞争力。成功的代币经济有可能在许多行业创造新的服务和商业模式。然而,代币化对欧洲的重要性,即将实物资产(数字或其他)转移到区块链,通常被低估了。

由于分布式账本(如区块链)技术的突破,代币化已在许多领域得到普及,可以涵盖许多用例,例如使用数字汽车钱包、稳定币或未来的数字欧元进行支付,创建数字孪生体和数字 ID,确保 M2M 安全沟通。[2023/1/24 11:28:21]

「勒索蠕虫知名度越高,越有可能给你发密钥,GandCrab在暗网上的知名度还是很高的,口碑也不错。」慢雾安全团队说,「如果不发私钥就会降低声誉,其他被攻击者就不会再打钱了。」

「关键是看,攻击者是否给受害者提供了一个联系渠道。」DVP区块链安全团队告诉笔者,由于加密货币具有匿名性,攻击者很难判定受害者是否进行了打币操作,如果没有沟通渠道,说明攻击者根本无意解锁受害电脑。

Patrick Hansen:欧盟公民不受美国对Tornado Cash制裁的影响,但混合器将被视为高风险交易:金色财经报道,Presight Capital的加密风险投资顾问Patrick Hansen在社交媒体上表示,欧盟公民不受美国对Tornado Cash制裁的影响,但根据即将出台的欧盟法规,混合器将被视为高风险交易。连接的资产将很难脱手,需要说明理由,并可能被报告给金融监管机构。

如果您通过Tornado Cash等混合器发送资产并且需要与受监管的参与者互动,他们将需要在决定拒绝转移之前要求您证明使用这些Tornado Cash的合理性。该决定也将(连同您的个人信息)报告给监管机构(例如德国的 BaFin),这显然是一个巨大的隐私风险和担忧,尤其是对于首先决定使用隐私工具的人。

因此,尽管个人不会因为直接在欧盟使用Tornado Cash而被定罪(至少现在还没有——让我们等待欧盟的反应),但将这些资产转移出去将非常困难,并且相关资产将始终被标记为高风险(针对 AML/CFT)。

然而,许多(大多数)受监管的实体已经有类似的 AML 流程/标志,并且不愿意接受与混币器相关的资产,就像许多交易所出于AML问题抢先下架门罗币等隐私币一样。[2022/8/9 12:13:24]

不可破解:地表最强的勒索病?

「目前根本没有办法直接破解,一旦被攻击成功,如果电脑里有重要的资料,只能乖乖交钱领取私钥破解。」包括慢雾、DVP在内的众多安全团队都向笔者表示该病不可破解。

百度贴吧截图

然而,笔者发现在一些论坛上,出现了宣称可以破解GandCrabV5.2的公司,条件是先付款,再破解。

「基本上都是子,都是一些皮包公司,根本没有能力。」一家匿名的区块链安全公司表示,「腾讯、360等公司都破解不了,他们能破解?」

「一些团队或个人宣称可以破解GandCrabV5.2,其实是「代理」破解。」慢雾安全团队解释说,「他们收你的钱,帮你向勒索者支付加密货币,从而拿到解密密钥。」

攻击者来势汹涌,一时之间破解不了木马病,只能做好防御。宜昌市夷陵区政府也给出了一些应对之策,包括:

一是不要打开来历不明的邮件附件;二是及时安装主流杀软件,升级病库,对相关系统进行全面扫描查杀;三是在Windows中禁用U盘的自动运行功能;四是及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病利用漏洞传播;五是对已感染主机或服务器采取断网措施,防止病扩散蔓延。不过,慢雾安全团队指出,非Windows操作系统暂时并不会被感染。「GandCrabV5.2蠕虫目前只在Windows上运行,其他系统还不行。」

「强悍」的病,也让团队在安全圈里「小有名气」。

GandCrab勒索病诞生于2018年1月,并在随后几个月里,成为一颗「新星」。

该团队的标签之一是「技术实力」强。

今年2月19日,Bitdefender安全实验室专家曾根据GandCrab自己给出的密钥,研发出GandCrabV5.1之前所有版本病的「解药」。

然而,道高一尺,魔高一丈。根据zdnet报道,今年2月18日,就在Bitdefender发布最新版本破解器的前一天,GrandCrab发布了正肆虐版本,该版本至今无法破解。

目前在暗网中,GrandCrab幕后团队采用「勒索即服务」的方式向黑客大肆售卖V5.2版本病。即由GrandCrab团队提供病,黑客在全球选择目标进行攻击勒索,攻击成功后GrandCrab团队再从中抽取30%-40%的利润。

「垃圾邮件制造者们,你们现在可以与网络专家进行合作,不要错失获取美好生活的门票,我们在等你。」这是GrandCrab团队在暗网中打出的「招商广告」。

值得一提的是,GandCrab是第一个勒索Dash币的勒索病,后来才加了比特币,要价499美元。根据GandCrab团队2018年12月公布的数据,其总计收入比特币以及Dash币合计285万美元。

「盗亦有道」的侠盗团队?

这款病的团队,另外标签是「侠盗」。该标签来源于2018年发生的「叙利亚密钥」事件。

2018年10月16日,一位名叫Jameel的叙利亚父亲在Twitter上发贴求助。Jameel称自己的电脑感染了GandCrabV5.0.3并遭到加密,由于无力支付高达600美元的「赎金」,他再也无法看到在战争中丧生的小儿子的照片。

Twitter截图

GandCrab勒索病制作者看到后,随即发布了一条道歉声明,称其无意感染叙利亚用户,并放出了部分叙利亚感染者的解密密钥。

GandCrab也随之进行了V5.0.5更新,并将叙利亚以及其他战乱地区加进感染区域的「白名单」。此外,如果GandCrab监测到电脑系统使用的是俄语系语言,也会停止入侵。安全专家据此猜测病作者疑为俄罗斯人。

勒索者道歉图

一时之间,不少人对GandCrab生出好感,称呼其为「侠盗」。

「GandCrab颇有些武侠小说中侠盗的意味,盗亦有道。」一位匿名的安全人员告诉笔者,「不过即使这样,也不能说GandCrab的行为就是正当的,毕竟它对其他国家的人就没有心慈手软。」

根据腾讯安全团队统计,GandCrab受害者大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦等国家。并且,GrandCrabV5.2版本所使用的语言主要是中文、英文以及韩文,说明中国目前已经成为其重要的攻击目标。

GrandCrabV5.2版本

「一个黑客如果对一个区域的人没有感情,那么作恶时就不会考虑这个区域的人的感受。」慢雾安全团队解释说,「在黑客看来,中国网络空间积金至斗,所以对中国下手也就不足为奇。」

来源链接:mp.weixin.qq.com

本文来源于非小号媒体平台:

Odaily星球日报

现已在非小号资讯平台发布1篇作品,

非小号开放平台欢迎币圈作者入驻

入驻指南:

/apply_guide/

本文网址:

/news/3627153.html

免责声明:

1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险

2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场

上一篇:

DragonEx交易所共计损失602万美元数字资产,已有近百万流入交易所

下一篇:

链闻今日必读丨Cosmos的「一键发链」和「万链互联」能够彻底激活区块链价值吗?

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:15ms0-0:853ms