
事实上,勒索软件的历史由来已久,真正使GandCrab成为危害巨大且仍在继续肆虐 的原因则在于其始作俑者“推陈出新“的传播方式以及改软件不断迭代挑战传统杀毒模式的 速率与效果。GandCrab采用了时下流行的勒索软件即服务(Ransomware-as-aservice,RaaS)方式在暗网平台上进行出售。不同于一般不法分子的低调,其创始者甚 至于今年二月在暗网论坛上放出自己的“收入”详情以吸引更多关注与购买。

这种“代理”模式带来的关注与“受益”,它的“幕后黑手”也就更有动力对其进行更新迭 代。截止2019年3月,这款软件已经来到了最新的5.2版本。在历次迭代中,创作者都紧跟 技术发展,不停更新可以利用的漏洞。在19年的主要更新中,GandCrab不仅增加了主页 挂马的传播方式,其漏洞工具包Fallout Exploit Kit近期也进行了更新,添加了对CVE2018-4878(Adobe Flash Player漏洞)、以及CVE-2018-8174(Windows VBScript引擎 远程代码执行漏洞)的漏洞利用。源于这样快速、激进的迭代,传统被动的静态查杀方式 无法有效应对GandCrab的威胁,因此它成为了近两年危害排名极高的勒索软件之一。
GandCrab是否是无解的?答案其实是否定的,在Check Point安全专家眼中,通过软 件行为分析,配合人工智能的病毒库梳理,可以使该类勒索软件无处遁形。Check Point 安全专家指出,包括GandCrab在内的勒索病毒,其运作方式往往来自与利用Windows默 认工具(如PowerShell,Windows Management Instrumentation)的漏洞。因此,其运 作方式在传统静态查杀环境中,经常会被视为合法,这也正是此类勒索软件能够顺利侵入 用户系统的主因之一。然而,通过Check Point Behavioral Guard (行为分析) 与SandBlast Forensics,用户或安全管理人员可以在恶意软件运行前就得到威胁分析报 告,从而获知其潜在影响。同时,通过Check Point业界领先的行为分析引擎,非法使用 默认工具的编码会在第一时间被识别并加以阻断,从而使其不对正常运行产生危害。此 外,Check Point安全解决方案在甄别恶意软件前,将对重要数据及文件进行快照,这意 味着用户受到零日安全威胁时,其核心业务仍可不被中断。


在当下,数字资产已经被视为企业与个人的核心资产,这也是不法分子谋取利益的主 要源动力。依托大数据与AI,为用户交付更加灵捷、智能的安全解决方案;通过主动预防 的方式帮助用户料敌机先、规避风险,是Check Point为全球众多用户带来的最大价值之 一。