GandCrab5.0.3升級版本GandCrab5.0.4近期在國內有呈現爆發的趨勢，獲取到該病毒樣本，該變種同樣採用RSA AES加密演算法，將系統中的大部分文件檔案加密為隨機字尾名的檔案，然後對使用者進行勒索。該勒索病毒主要通過RDP爆破、郵件、漏洞、垃圾網站掛馬等方式進行傳播，其自身不具備感染傳播能力，不會主動對區域網的其他裝置發起***，會加密區域網共享目錄資料夾下的檔案。
GANDCRAB v5.0.4是惡毒的GandCrab加密病毒的最新版本，它會對您的檔案進行加密，並在其中留下有關受損計算機裝置的贖金說明。敲詐勒索者希望您支付索賠恢復檔案的贖金費用。據說以前的GANDCRAB 5.0版本都使用了CVE-2018-0896漏洞。這也可以用這個新版本來利用。除上述提及之外，不排除使用其他漏洞和漏洞利用策略。

GANDCRAB v5.0.4勒索軟體在Windows登錄檔中建立了各種條目以實現永續性，並可以在Windows環境中啟動或抑制程序。此類條目通常設計為在每次啟動Windows作業系統時自動啟動病毒。
加密完成之後，通過ShellExecuteW函式呼叫wmic.exe程式，刪除磁碟卷影：

最後，生成勒索資訊檔案並在桌面進行勒索。GANDCRAB v5.0.4病毒將儲存勒索贖金。贖金票據的名稱是通過以大寫字母使用此擴充套件並新增[5-10隨機字母]-DECRYPT.txt或[5-10隨機字母]-DECRYPT.html形成的.如下圖：

病毒防禦:

1、及時給電腦打補丁，修復漏洞。

2、對重要的資料檔案定期進行非本地備份。

3、不要點選來源不明的郵件附件，不從不明網站下載軟體。

4、儘量關閉不必要的檔案共享許可權。

5、更改賬戶密碼，設定強密碼，避免使用統一的密碼，因為統一的密碼會導致一臺被攻破，多臺遭殃。

6、GandCrab勒索軟體會利用RDP(遠端桌面協議），如果業務上無需使用RDP的，建議關閉RDP。

最後，建議企業對全網進行一次安全檢查和防毒掃描，加強防護工作。

GandCrab5.0.4版本勒索病毒資料解密，可聯絡QQ:1378434584