Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Шифровальщик расширяет зону влияния. Теперь зловред рассылают по электронной почте.
Шифровальщик GandCrab, обнаруженный в конце января 2018 года, обретает новые формы. В среду 7 февраля новая волна спам-рассылки, содержащей вредоносный PDF-файл, распространила не встречавшуюся до этого DLL-версию зловреда.
Письма замаскированы под платежные квитанции. Темы — Receipt Feb-21310 или Electricity bill Feb-6509 — должны побудить получателя открыть прилагающийся документ.
По содержащейся в нем ссылке с сайта butcaketforthen.com загружается DOC-файл, содержащий макрос, который запускает PowerShell-скрипт, устанавливающий GandCrab с sorinnohoun.com.
Предыдущие версии GandCrab скачивались на компьютер в виде EXE-файла. Шифровальщик распространялся через эксплойт-пак RIG, а затем через веб-страницы, требующие установки шрифта HoeflerText. Новый вид вымогателя существует в форме библиотеки DLL, к которой обращается строка base64 PowerShell-скрипта.
Запущенная программа обращается к домену nomoreransom.coin. Предыдущие версии использовали серверы, расположенные в зоне .BIT, в том числе nomoreransom.bit. После установки соединения зловред добавляет файлам на компьютере расширение GDCB и размещает на жестком диске сообщения с инструкцией к дальнейшим действиям в документе GDCB-DECRYPT.txt.
Мошенники требуют от пользователей скачать браузер Tor и через него открыть ссылку, указанную в письме. На сайте предлагается расшифровать бесплатно один из файлов размером не более 2 MB, а затем приобрести дешифровщик GandCrab за 2,07 DASH — $1580 на момент написания статьи. Это первый вымогатель, который требует выкуп в DASH.
Аналитик Брэд Дункан (Brad Duncan) отмечает, что избежать заражения при грамотном управлении системой несложно. Вредоносные PDF- и DOC-файлы выдают множество предупреждений, прежде чем запускается процесс установки GandCrab. Кроме того, изначальная ссылка чувствительна к IP-адресам — при попытке подключиться через прокси она выдает ошибку 404.
В любом случае, пользователям рекомендуется внимательнее относиться к входящим письмам и не открывать файлы, присланные с неизвестных адресов.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |