В южнокорейской ИБ-компании AhnLab создали приложение, способное воспрепятствовать шифрованию файлов на ПК Windows, зараженных GandCrab 4.1.2 — вариантом вымогателя, появившимся 17 июля.

Эту «вакцину», как сказано в репортаже Bleeping Computer, можно использовать для заблаговременного создания в системе особого файла, по наличию которого GandCrab определяет повторное заражение — и отказывается от шифрования, чтобы не повредить уже зашифрованные данные.

Впервые попав на машину жертвы, зловред генерирует уникальный идентификатор на основе данных корневого диска и кастомного шифра Salsa20. Эта информация сохраняется в зараженной системе в виде файла с именем <шестнадцатеричная строка>.lock. На Windows XP этот файл помещается в папку C:\Documents and Settings\All Users\Application Data, на Windows 7, 8 и 10 — в C:\ProgramData.

По данным Fortinet, этот механизм, гарантирующий успешное восстановление зашифрованных данных в случае уплаты выкупа, появился в GandCrab в начале текущего месяца — с выпуском версии 4.

Созданное в AhnLab приложение работает лишь против новейшего варианта зловреда, однако этот блокиратор, по всей видимости, можно бэкпортировать. Все прежние сборки GandCrab 4, по словам Fortinet, создают идентификатор .lock более простым способом: берут за основу серийный номер тома и выполняют сдвиг вправо.

Тем временем Марсело Риверо (Marcelo Rivero) из Malwarebytes только что обнаружил в Интернете еще один вариант GandCrab — 4.1.3. Чем эта сборка отличается от прежних, пока не известно.

https://twitter.com/MarceloRivero/status/1019845459861491712

Чуть ранее эксперт также отметил, что авторы GandCrab не изменяют своей привычке оставлять в коде послания ИБ-исследователям. Выпуск 4.1.2 они «посвятили» Fortinet и AhnLab, указав, что заблокировать шифрование можно не только с помощью lock-файла, но и через мьютекс.

Напомним, код GandCrab 4 содержал обращение к создателю Salsa20 Дэниелу Бернштейну (Daniel J. Bernstein). В GandCrab 3, со слов Bleeping Computer, упоминалось имя Фабиана Возара (Fabian Wosar), главы вирусных аналитиков Emsisoft, создавшего много декрипторов для жертв заражения вымогательским ПО.

Автор записи на BleepingComputer.com также не преминул отметить, что в Fortinet изучили механизм распространения по сети, появившийся в GandCrab 4.1, и пришли к выводу, что эту возможность шифровальщик пока не использует.

Категории: Аналитика, Вредоносные программы, Главное, Кибероборона