事實(shí)上,勒索軟件的歷史由來(lái)已久,真正使GandCrab成為危害巨大且仍在繼續(xù)肆虐 的原因則在于其始作俑者“推陳出新“的傳播方式以及改軟件不斷迭代挑戰(zhàn)傳統(tǒng)殺毒模式的 速率與效果。GandCrab采用了時(shí)下流行的勒索軟件即服務(wù)(Ransomware-as-aservice,RaaS)方式在暗網(wǎng)平臺(tái)上進(jìn)行出售。不同于一般不法分子的低調(diào),其創(chuàng)始者甚 至于今年二月在暗網(wǎng)論壇上放出自己的“收入”詳情以吸引更多關(guān)注與購(gòu)買(mǎi)。
這種“代理”模式帶來(lái)的關(guān)注與“受益”,它的“幕后黑手”也就更有動(dòng)力對(duì)其進(jìn)行更新迭 代。截止2019年3月,這款軟件已經(jīng)來(lái)到了最新的5.2版本。在歷次迭代中,創(chuàng)作者都緊跟 技術(shù)發(fā)展,不停更新可以利用的漏洞。在19年的主要更新中,GandCrab不僅增加了主頁(yè) 掛馬的傳播方式,其漏洞工具包Fallout Exploit Kit近期也進(jìn)行了更新,添加了對(duì)CVE2018-4878(Adobe Flash Player漏洞)、以及CVE-2018-8174(Windows VBScript引擎 遠(yuǎn)程代碼執(zhí)行漏洞)的漏洞利用。源于這樣快速、激進(jìn)的迭代,傳統(tǒng)被動(dòng)的靜態(tài)查殺方式 無(wú)法有效應(yīng)對(duì)GandCrab的威脅,因此它成為了近兩年危害排名極高的勒索軟件之一。
GandCrab是否是無(wú)解的?答案其實(shí)是否定的,在Check Point安全專(zhuān)家眼中,通過(guò)軟 件行為分析,配合人工智能的病毒庫(kù)梳理,可以使該類(lèi)勒索軟件無(wú)處遁形。Check Point 安全專(zhuān)家指出,包括GandCrab在內(nèi)的勒索病毒,其運(yùn)作方式往往來(lái)自與利用Windows默 認(rèn)工具(如PowerShell,Windows Management Instrumentation)的漏洞。因此,其運(yùn) 作方式在傳統(tǒng)靜態(tài)查殺環(huán)境中,經(jīng)常會(huì)被視為合法,這也正是此類(lèi)勒索軟件能夠順利侵入 用戶(hù)系統(tǒng)的主因之一。然而,通過(guò)Check Point Behavioral Guard (行為分析) 與SandBlast Forensics,用戶(hù)或安全管理人員可以在惡意軟件運(yùn)行前就得到威脅分析報(bào) 告,從而獲知其潛在影響。同時(shí),通過(guò)Check Point業(yè)界領(lǐng)先的行為分析引擎,非法使用 默認(rèn)工具的編碼會(huì)在第一時(shí)間被識(shí)別并加以阻斷,從而使其不對(duì)正常運(yùn)行產(chǎn)生危害。此 外,Check Point安全解決方案在甄別惡意軟件前,將對(duì)重要數(shù)據(jù)及文件進(jìn)行快照,這意 味著用戶(hù)受到零日安全威脅時(shí),其核心業(yè)務(wù)仍可不被中斷。
在當(dāng)下,數(shù)字資產(chǎn)已經(jīng)被視為企業(yè)與個(gè)人的核心資產(chǎn),這也是不法分子謀取利益的主 要源動(dòng)力。依托大數(shù)據(jù)與AI,為用戶(hù)交付更加靈捷、智能的安全解決方案;通過(guò)主動(dòng)預(yù)防 的方式幫助用戶(hù)料敵機(jī)先、規(guī)避風(fēng)險(xiǎn),是Check Point為全球眾多用戶(hù)帶來(lái)的最大價(jià)值之 一。