GandCrab 勒索病毒处置建议

GandCrab 勒索病毒预警

一、病毒特征

该勒索病毒主要通过 RDP 爆破、邮件、漏洞、垃圾网站挂马等方式进行传播，其自身不具备感染传播能力，不会主动对局域网的其他设备发起攻击，会加密局域网共享目录文件夹下的文件。感染该病毒以后主要表现为文件被加密，系统桌面会出现如下现象。

二、影响范围

开启3389远程桌面的windows终端和服务器.

三、预防措施

1.严禁违规外联。

2.安装杀毒软件。

3.在出口防火墙上禁止进出流量的TCP/UDP 135-139、445、3389端口；如有工作需要访问远程桌面，防火墙上必须指定源地址和目的地址。

4．对重要的数据文件定期进行非本地备份。

5.尽量关闭不必要的文件共享权限。

6．更改账户密码，设置强密码，避免使用统一的密码；禁止guest 账户的使用。

7.GandCrab 勒索软件会利用 RDP(远程桌面协议），如果业务上无需使用 RDP 的，建议关闭 RDP。

8.检查终端和服务器是否有“ProcessHacker”新增进程。

四、处置建议

如果发现已经感染该勒索病毒，作出如下操作：

1.立即断网。

2.使用杀毒软件进行查杀，通过查看日志确认攻击源头。对源头立刻做出断网处理。

3.如没有重要数据，可做硬盘格式化和重新安装操作系统。