Авторы вымогателя GandCrab выпустили новую версию вредоносной программы на следующий день после публикации бесплатного декриптора, разработанного компанией Bitdefender. Злоумышленники изменили алгоритм шифрования и внесли изменения в работу скрипта, чтобы сделать невозможным восстановление пользовательских файлов. Скрипт обнаружен в дикой природе и распространяется через спам-рассылки и мошеннические веб-ресурсы.

Обновленная версия GandCrab получила номер 5.0.5 и была найдена ИБ-специалистом Марсело Риверо (Marcelo Rivero). Исследователь загрузил новый штамм шифровальщика на сайт VirusBay, предоставляющий экспертам возможность обмена информацией о зловредах. Процесс распространения вымогателя остался прежним — скрипт доставляется на компьютеры жертв через сеть партнеров, отчисляющих разработчикам программы часть полученного выкупа.

Для того чтобы проникнуть на целевую систему, киберпреступники рассылают электронные письма с фальшивыми финансовыми документами, содержащими вредоносные макросы. Еще одним вектором атаки являются сайты, распространяющие шифровальщик под видом дистрибутивов или обновлений легитимных программ.

Злоумышленники загружают на инфицированное устройство два исполняемых файла, которые получают права администратора и шифруют информацию на диске. В списке целевых объектов GandCrab более 400 типов файлов, включая электронные документы, аудио- и видеоформаты, изображения и архивы. Вредоносная программа не кодирует папки, содержащие браузер TOR и ряд системных каталогов, но вносит значительные изменения в реестр Windows. Помимо этого, обновленный скрипт ищет на компьютере и уничтожает резервные копии пользовательских данных, а также выгружает из памяти Защитник Windows.

Как и предыдущая версия зловреда, GandCrab 5.0.5 добавляет к именам модифицированных файлов расширения из пяти случайных символов, которые служат идентификатором зараженной системы. Как выяснили специалисты, для кодирования пользовательских данных скрипт применяет комбинацию криптографического алгоритма RSAи систему поточного шифрования Salsa20, чрезвычайно сложную для взлома.

Программа создает на диске HTML-документы с сообщением о заражении и ссылкой на новый TOR-сайт вымогателей с инструкциями для владельца устройства. Та же информация размещается в виде изображения на рабочем столе. Киберпреступники требуют от жертвы оплатить $800 в биткойнах или монетах Dash и устанавливают срок, после которого эта сумма будет удвоена.

Как отмечают ИБ-специалисты, утилита для восстановления информации, закодированной GandCrab версий 1, 4 и 5, появившаяся в сети 25 октября этого года, бессильна против нового штамма зловреда. Декриптор был разработан компанией Bitdefender и выложен на сайте проекта NoMoreRansom после того, как авторы шифровальщика опубликовали секретные ключи для декодирования данных на компьютерах сирийских пользователей.

Категории: Вредоносные программы