近日，騰訊智慧安全御見威脅情報(bào)中心攔截到專攻企業(yè)局域網(wǎng)的勒索病毒GandCrab，分析發(fā)現(xiàn)不法黑客會(huì)暴力破解Tomcat 服務(wù)器弱密碼,，一旦入侵成功,，針對高價(jià)值目標(biāo)使用GandCrab勒索病毒，同時(shí)聲稱需要受害者進(jìn)入“暗網(wǎng)”,，并繳納499美元購買解密工具,；而對一般目標(biāo)則運(yùn)行挖礦木馬,，以最大限度利用被入侵的目標(biāo)網(wǎng)絡(luò)非法牟利,，截至目前，GandCrab 勒索病毒運(yùn)行挖礦木馬已收獲18.6個(gè)門羅幣，折合人民幣約1.5萬元,。

（圖：病毒母體NSIS安裝包）

據(jù)騰訊安全技術(shù)專家介紹,，此次入侵通過Tomcat Manager后臺弱口令進(jìn)行爆破，爆破成功后,，黑客上傳了一個(gè)war包,，該war包中包含了一個(gè)Jsp webshell，并且該webshell擁有最高權(quán)限,。攻擊一旦得手,，黑客就會(huì)以此為跳板，繼續(xù)向內(nèi)網(wǎng)擴(kuò)散,。擴(kuò)散的手法,，往往是使用NSA攻擊工具包或1433，3389端口暴力破解弱口令,。之后,，不法黑客會(huì)選擇高價(jià)值目標(biāo)下載運(yùn)行勒索病毒，對一般系統(tǒng),，則植入挖礦木馬獲利,。

據(jù)悉，Tomcat 服務(wù)器是一個(gè)免費(fèi)的開放源代碼的Web 應(yīng)用服務(wù)器,，屬于輕量級應(yīng)用服務(wù)器,，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 規(guī)范,。因?yàn)門omcat 技術(shù)先進(jìn),、性能穩(wěn)定，而且免費(fèi),，因而深受Java 愛好者的喜愛并得到了部分軟件開發(fā)商的認(rèn)可,，成為目前比較流行的Web 應(yīng)用服務(wù)器。

在虛擬貨幣盛行的今天,，網(wǎng)絡(luò)勒索病毒層出不窮,，GandCrab在眾多病毒中“脫穎而出”引起各界關(guān)注。據(jù)了解,，GandCrab家族病毒最早出現(xiàn)在今年年初,，通過Seamless惡意廣告軟件、水坑攻擊,、郵件傳播,、GrandSoft漏洞利用工具包進(jìn)行傳播，目標(biāo)鎖定達(dá)世幣,，同時(shí)平均每兩個(gè)月完成一次變種,，對用戶網(wǎng)絡(luò)安全造極大的危害。

不同于之前的變種主要通過釣魚軟件和水坑攻擊，勒索病毒GandCrab 4.3首先從企業(yè)Web服務(wù)器下手,，通過Tomcat Manager后臺弱口令爆破攻擊,，使用salsa20加密釋放init.exe礦機(jī)挖門羅幣，同時(shí)該病毒僅排除幾個(gè)系統(tǒng)目錄和配置文件不加密,，其他文件均會(huì)被加密,，被加密的文件后輟為KRAB，致使受害者須使用TOR瀏覽器登錄暗網(wǎng)購買解密工具,。

為避免此類攻擊事件再次發(fā)生,，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒廣大用戶,，建議企業(yè)網(wǎng)管調(diào)整Tomcat后臺管理設(shè)置,，修改管理后臺默認(rèn)頁面路徑，設(shè)置白名單限制登錄,，修改弱口令密碼,，避免服務(wù)運(yùn)行高權(quán)限；盡量關(guān)閉不必要的端口,，對3389端口可進(jìn)行白名單配置,；采用高強(qiáng)度的密碼，避免使用弱口令密碼,，并定期更換密碼,。建議服務(wù)器密碼使用高強(qiáng)度且無規(guī)律密碼，并且強(qiáng)制要求每個(gè)服務(wù)器使用不同密碼管理,。

（圖：騰訊安全企業(yè)級產(chǎn)品御點(diǎn)）

同時(shí),，馬勁松還建議企業(yè)應(yīng)設(shè)立相關(guān)的安全監(jiān)管部門，制定相關(guān)對應(yīng)措施,，同時(shí)優(yōu)先使用終端殺毒軟件,，增強(qiáng)防御方案的完整性和立體性，在遭受攻擊時(shí)能更高效地解決問題,，把企業(yè)損失降到最低,。