GandCrab эволюционировал и не поддается дешифровке

07 марта 2018 г., среда, 19:49

Декриптор, ранее созданный для этого вымогателя, против новой версии бессилен.

Исследователи из MalwareHunterTeam обнаружили вторую версию нашумевшего шифровальщика GandCrab, улучшенную и доработанную авторами.

У обновленного зловреда есть несколько отличий от предшественника. Во-первых, поменялись имена командных серверов, с которыми связывается вымогатель перед шифрованием файлов. В этом эксперты видят реверанс создателей GandCrab в сторону румынской полиции, которой удалось получить доступ к прежним C&C-серверам, и участников группы MalwareHunterTeam.

Хосты теперь выглядят следующим образом:

politiaromana.bit
malwarehunterteam.bit
gdcb.bit

Во-вторых, изменилось расширение, которое зловред присваивает зашифрованным документам. Если первая версия создавала GDCB-файлы, то новая дает на выходе образцы вида test.jpg.CRAB. Это позволяет легко определять, какой выпуск GandCrab заразил конкретный компьютер.

Записка с требованием выкупа теперь называется не GDCB-DECRYPT, а CRAB-Decrypt. В ней содержатся не только инструкции по переходу на сайт в onion-домене, но и ссылка на Tox-чат для тех, кто не может установить браузер Tor.

Еще одно отличие относится к внешнему виду сайта с руководством по уплате выкупа: на странице появился список порталов, где жертва может купить криптовалюту DASH, и QR-код, сменивший ссылку на кошелек мошенников. Сам интерфейс страницы стал проще и, по мнению основателя издания Bleeping Computer Лоренса Абрамса (Lawrence Abrams), менее эстетичным.

О новой версии GandCrab его создатели впервые упомянули после того, как в Сеть выложили бесплатный декриптор для первого выпуска вредоноса. Киберпреступники пообещали усилить защиту командных серверов и сделать свое детище менее доступным для взлома. Свои обещания они сдержали: дешифровать GandCrab v2 с помощью захваченных ключей пока нельзя.

Напомним, GandCrab — это первый известный вымогатель, требующий выкуп в DASH. Он существует в EXE и DLL-форматах и распространяется разными путями, в том числе с использованием эксплойт-пака RIG и спам-рассылок.

Threatpost

нравится

не нравится

Рейтинг:

Всего голосов: 0

Комментарии

Добавить

Нет комментариев

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA // 08 февраля

Последние новости

19:45		RuStore открыл доступ иностранным разработчикам
17:45		CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs
14:45		Google обещает блюрить непристойные и жестокие картинки поиска
12:45		Бизнес предлагает продавать алкоголь по 2FA
11:45		Исследователь взломал веб-сервис Toyota с внутренними документами
09:45		Дешёвые китайские Android-смартфоны передают слишком много данных владельца
09:45		Почему Tor медленный: неизвестные семь месяцев досят луковую сеть
19:45		Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор
18:45		Для детского билета на футбол теперь нужны ПДн ребенка
16:45		Загрузчик GuLoader использует NSIS-скрипты в атаках на коммерсантов
15:45		НКЦКИ: DDoSом прикрывают более серьезные атаки
14:45		МСофт и Crosstech Solutions Group выводят файловый обмен на новый уровень
13:45		Эксперты оценили идею уголовного срока за утечки
10:45		Поддержка Microsoft Authenticator на Apple Watch прекращена
10:45		Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD
09:45		Полиция взломала мессенджер Exclu для слежки за киберпреступниками
19:45		В OpenSSH устранили уязвимость грозящую удаленным исполнением кода
19:45		Яндексу не хватает видеокарт Nvidia

Все новости

Добавить комментарий к новости
Ваше имя: *
Сообщение: *

GandCrab эволюционировал и не поддается дешифровке

Добавить комментарий к новости