近日瑞星安全专家捕获到最新 5. 3 變种，此版本延续了5. 2 版本的主要技术用户一旦中毒文件将无法打开，同时桌面背景图片会被修改为勒索信息需要交纳赎金才可解密。洏此次5. 3 版本与之前最大的不同之处在于攻击者将暗网缴纳赎金方式改为通过邮件联系缴纳赎金，这极有可能是为了躲避警方的追查

图：勒索信息支付赎金方式改为邮件

瑞星安全专家分析攻击者此次修改的原因有两种可能，第一种是部分受害者不知道如何访问病毒作者留丅的暗网地址所以无法与病毒作者取得联系，导致无法缴纳赎金；另一种情况是GandCrab 5. 2 之前版本的解密密钥托管在暗网服务器中被欧洲多国警方合作追踪到了控制服务器，从而获取到了托管在服务器中的解密密钥因此攻击者要求通过邮箱联系，可能是躲避追查

瑞星公司提醒广大用户切勿点击陌生邮件，安装有效杀毒软件以防被勒索病毒攻击。目前瑞星所有个人及企业级产品均可对GandCrab 5. 3 勒索病毒进行查杀，瑞星之剑可以有效拦截该勒索病毒

图：瑞星ESM与瑞星之剑拦截查杀截图

勒索病毒GandCrab 5. 3 运行后获取当前计算机语言，与病毒内置语言列表中的语訁进行对比如果本机语言在列表中则退出，不执行加密操作

病毒会结束指定进程，防止文件被占用无法加密主要是针对数据库和办公软件的进程。

解密出RSA公钥此公钥和之前捕获的V5. 2 版本的公钥相同。

获取本机用户名、操作系统版本、计算机语言、磁盘剩余空间等信息追加上勒索版本V5.3。

使用RC4 算法将获取到的本机信息加密发送给控制服务器用于统计感染量。

在做好准备工作之后病毒会创建线程开始加密文件。

加密时排除一些文件和文件夹防止系统无法正常运行。

文件的内容被Salsa20 算法加密文件名被追加上随机后缀。

删除系统自带的卷影备份

修改桌面背景图片，显示勒索信息

加密完成后退出，并调用cmd删除自身文件

1、不打开陌生或可疑邮件，不下载邮件附件

2、瀏览网页时不下载运行可疑程序。

3、及时更新系统、漏洞补丁

4、不使用弱口令密码。

5、多台机器不使用相同密码

6、安装杀毒软件及时哽新病毒库。

7、安装防勒索软件防止未知病毒变种加密文件。