GandCrab v5勒索软件利用ALPC任务调度程序漏洞

TRex 勒索软件 2018年9月28日发布
Favorite收藏

导语:GandCrab v5勒索软件已开始使用最近披露的任务计划程序ALPC漏洞获取受感染计算机的系统权限。

GandCrab v5勒索软件已开始使用最近披露的任务计划程序ALPC漏洞获取受感染计算机的系统权限。微软在2018年9月的周二补丁日修补了这个漏洞,但是据显示计算机仍旧容易受到EternalBlue影响,有些企业的安装更新过程会很慢。

任务计划程序ALPC漏洞是由Twitter上的安全研究人员揭露的0 day漏洞。使用时,该漏洞将允许使用系统权限执行可执行文件,允许以完全管理权限执行命令。

GandCrab对此漏洞的使用最初是由名为Valthek的恶意软件分析人员发现的,他在Twitter上发布了相关内容。Valthek告诉BleepingComputer,这个漏洞与安全研究员Kevin Beaumont在他的Github repository中发布的漏洞相同。

GandCrab的IDA屏幕截图显示了与ALPC漏洞相同的字符串

Valthek进一步告诉BleepingComputer,这个漏洞很可能用于执行系统级命令,例如清除Shadow Volume副本以及动态创建勒索软件的壁纸。

Valthek在一些变体中也看到了一些奇怪的行为。例如,在一个变体中,勒索软件无法在Windows XP和Windows Vista上运行,但此后已在新版本中得到解决。此外,新版本已从HTML便条切换为文本赎金便条。

GandCrab疫苗更新以支持v5

Valthek还发布了一种疫苗,当它在计算机上运行时,可防止被GandCrab感染。虽然这可能会保护一些用户,但应该提醒的是,GandCrab开发人员可以轻松地更改他们的程序以绕过这种疫苗。

I update my vaccine against #GandCrab version 5.The old vaccine remains working but put a auto generated wallpaper, now the vaccine will search for it and remove if found it and put a empty wallpaper. https://t.co/cswC3PFW5L@BleepinComputer @yassine_lemmou@MarceloRivero

— Valthek (@ValthekOn) September 25, 2018

下面你可以看一下运行疫苗然后安装GandCrab后发生的事情。由于勒索软件无法运行,因此无法在壁纸中输入正确的信息。

破坏的壁纸

如果在尝试失败后运行疫苗,它将从%Temp%文件夹中删除壁纸。

本文翻译自:https://www.bleepingcomputer.com/news/security/gandcrab-v5-ransomware-utilizing-the-alpc-task-scheduler-exploit/如若转载,请注明原文地址: http://www.4hou.com/typ/13820.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论