病毒描述

GandCrab勒索DeepBlue变种在功能代码结构上与GandCrab非常相似，同时应用了多种反调试和混淆方式，且似乎还处于不断调试的阶段，变种使用RSA+AES算法进行加密，加密文件后会使用随机字符串作为后缀，且更换桌面为深蓝色背景（标题题目会变化），具体勒索特征如下：

▲勒索界面

并释放勒索信息文件“加密后缀-readme.txt”或“加密后缀-HOW-TO-DECRYPT.txt”。

▲勒索信息文件

入侵分析

病毒详细分析

解决方案

病毒防御

• 及时给电脑打补丁，修补漏洞，修改弱密码。

• 对重要的数据文件定期进行非本地备份。

• 有Confluence应用的用户需升级Confluence版本，并主动升级widgetconnector-3.1.3.jar 到 widgetconnector-3.1.4.jar。其中版本升级为：

• 有WebLogic应用的用户请参考 https://mp.weixin.qq.com/s/Flc2eHmIystJ5sqJ33pJug 修复相关漏洞。

• 深信服下一代防火墙用户建议升级到AF805版本，并开启深信服SAVE安全智能检测引擎，以达到最好的防御效果。

• 深信服EDR用户建议升级到3.2.8以上版本，病毒库升级到20190507版本，以达到最好的防御效果。

• 使用深信服安全产品，接入安全云脑，使用云查服务可以即时检测防御新威胁。