SOS :: Security Operation Space
19 сентября, среда, 00:00
|
Hot News:

GandCrab эволюционировал и не поддается дешифровке

07 марта 2018 г., среда, 19:49

Декриптор, ранее созданный для этого вымогателя, против новой версии бессилен.

Исследователи из MalwareHunterTeam обнаружили вторую версию нашумевшего шифровальщика GandCrab, улучшенную и доработанную авторами.

У обновленного зловреда есть несколько отличий от предшественника. Во-первых, поменялись имена командных серверов, с которыми связывается вымогатель перед шифрованием файлов. В этом эксперты видят реверанс создателей GandCrab в сторону румынской полиции, которой удалось получить доступ к прежним C&C-серверам, и участников группы MalwareHunterTeam.

Хосты теперь выглядят следующим образом:

  • politiaromana.bit
  • malwarehunterteam.bit
  • gdcb.bit

Во-вторых, изменилось расширение, которое зловред присваивает зашифрованным документам. Если первая версия создавала GDCB-файлы, то новая дает на выходе образцы вида test.jpg.CRAB. Это позволяет легко определять, какой выпуск GandCrab заразил конкретный компьютер.

Записка с требованием выкупа теперь называется не GDCB-DECRYPT, а CRAB-Decrypt. В ней содержатся не только инструкции по переходу на сайт в onion-домене, но и ссылка на Tox-чат для тех, кто не может установить браузер Tor.

Еще одно отличие относится к внешнему виду сайта с руководством по уплате выкупа: на странице появился список порталов, где жертва может купить криптовалюту DASH, и QR-код, сменивший ссылку на кошелек мошенников. Сам интерфейс страницы стал проще и, по мнению основателя издания Bleeping Computer Лоренса Абрамса (Lawrence Abrams), менее эстетичным.

О новой версии GandCrab его создатели впервые упомянули после того, как в Сеть выложили бесплатный декриптор для первого выпуска вредоноса. Киберпреступники пообещали усилить защиту командных серверов и сделать свое детище менее доступным для взлома. Свои обещания они сдержали: дешифровать GandCrab v2 с помощью захваченных ключей пока нельзя.

Напомним, GandCrab — это первый известный вымогатель, требующий выкуп в DASH. Он существует в EXE и DLL-форматах и распространяется разными путями, в том числе с использованием эксплойт-пака RIG и спам-рассылок.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
11:45
10:24
09:34
08:41
08:04
07:15
06:30
06:27
06:18
05:47
16:29
14:55
14:07
12:43
12:42
11:32
10:06
08:51


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.114
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.