1. 病毒是通過樣本傳播的（QQ微信群等方式，以安全分析或評測為理由向已有樣本人員索要樣本）
   

2. 病毒可以通過445和其它端口傳播，可以通過Word等辦公文件Email傳播

3. 病毒加密算法為RES+AES256+RSA? ，所以很難破解（沒有私鑰基本無望）

4. 加密速度顯著比2017年的WannaCry2.0加密速度快（秒加密）

5. 一旦篡改桌面后，基本加密完成，已無回天之力

6. 病毒不可以通過安全模式刪除

7. 病毒也會加密回收站里的文件

8. 病毒會打開互斥體以防止程序員反匯編、反調(diào)試

9. 病毒破解難度太大，國內(nèi)外無云查殺情況下基本殺不到病毒

10. 攻擊性強，使用多種不實名貨幣，獲取更多利潤

11. 制作者在暗網(wǎng)里用了 MilakageRTgccd攻擊套件 和 WKB傳播包 無法阻止病毒作者

12. 病毒作者以部分贖金給其它hacker，以獲得24x7全天候支持

1. 病毒的編譯語言為C#.net/VisualBasic.NET? ?簡單易懂制作門檻低的同時，反匯編后理解也變得容易了

2. 病毒需要net虛擬機（NET Framework）基本上都是要net4.0的，所以部分病毒無法運行在系統(tǒng)上

3. 沒有加殼，只使用了混淆

4. 支持跳過文件（系統(tǒng)重要文件）

5. CPU在加密期間明顯占用過30% 異常非常明顯

6. 文件可疑（Word）性強

7. 無網(wǎng)絡不會自己開啟網(wǎng)絡

8. 無法運行在非管理員賬號（權利不足）

防治措施

無有效方法，建議關閉445等端口后，文件打開要仔細！

QEVM Studio 和Aurora Studio已經(jīng)開始研制專殺工具（帶修復功能）

預計2019/1/22發(fā)布

策劃/方案/流程/文檔：極光工作室

資料整理：QEVM

制作人：QEVM / Aurora

GandCrab樣本已上傳到我們工作室的官網(wǎng)? ? ? ? https://qevm.github.io/

樣本不要非法使用，我們希望大家能利用這個樣本來研究出解決方案

(C) All CopyRight For QEVM Studio And Aurora Studio? .lnc 2018-2304 (R)? 轉載請注明，版權所有。