GandCrab v5勒索软件已开始使用最近披露的任务计划程序ALPC漏洞获取受感染计算机的系统权限。微软在2018年9月的周二补丁日修补了这个漏洞，但是据显示计算机仍旧容易受到EternalBlue影响，有些企业的安装更新过程会很慢。

任务计划程序ALPC漏洞是由Twitter上的安全研究人员揭露的0 day漏洞。使用时，该漏洞将允许使用系统权限执行可执行文件，允许以完全管理权限执行命令。

GandCrab对此漏洞的使用最初是由名为Valthek的恶意软件分析人员发现的，他在Twitter上发布了相关内容。Valthek告诉BleepingComputer，这个漏洞与安全研究员Kevin Beaumont在他的Github repository中发布的漏洞相同。

GandCrab的IDA屏幕截图显示了与ALPC漏洞相同的字符串

Valthek进一步告诉BleepingComputer，这个漏洞很可能用于执行系统级命令，例如清除Shadow Volume副本以及动态创建勒索软件的壁纸。

Valthek在一些变体中也看到了一些奇怪的行为。例如，在一个变体中，勒索软件无法在Windows XP和Windows Vista上运行，但此后已在新版本中得到解决。此外，新版本已从HTML便条切换为文本赎金便条。

GandCrab疫苗更新以支持v5

Valthek还发布了一种疫苗，当它在计算机上运行时，可防止被GandCrab感染。虽然这可能会保护一些用户，但应该提醒的是，GandCrab开发人员可以轻松地更改他们的程序以绕过这种疫苗。

I update my vaccine against #GandCrab version 5.The old vaccine remains working but put a auto generated wallpaper, now the vaccine will search for it and remove if found it and put a empty wallpaper. https://t.co/cswC3PFW5L@BleepinComputer @yassine_lemmou@MarceloRivero

— Valthek (@ValthekOn) September 25, 2018

下面你可以看一下运行疫苗然后安装GandCrab后发生的事情。由于勒索软件无法运行，因此无法在壁纸中输入正确的信息。

破坏的壁纸

如果在尝试失败后运行疫苗，它将从％Temp％文件夹中删除壁纸。