Новая версия шифровальщика GandCrab содержит эксплойт для антивируса AhnLab. Так автор вредоносной программы ответил на выпуск южнокорейской компанией «вакцины» против его разработки. ИБ-специалисты признали наличие уязвимости в своем продукте, но считают, что ее использование маловероятно.

Вредоносный скрипт включен в состав GandCrab версий 4.2.1 и 4.3, замеченных в дикой природе 2 августа. В своем письме изданию BleepingComputer автор зловреда называет новую функцию «эксплойтом нулевого дня» и отмечает, что на нейтрализацию обновленной защиты у него ушло всего несколько часов. В комментариях исходного кода шифровальщика также содержится фраза «эй, ahnlab, счет 1:1», адресованная создателям антивируса.

Как выяснили ИБ-эксперты, скрипт действительно может привести к отказу в обслуживании программы AhnLab V3 Lite, а в ряде случаев эксплуатация уязвимости вызывает сбой в работе Windows (BSOD). Создатели антивируса подтвердили наличие бреши в своем ПО и планируют выпустить обновление в течение нескольких недель.

Глава компании Чан Кю Хан (Changkyu Han) сообщил, что вероятность выполнения вредоносного кода невелика, поскольку защитное ПО обнаруживает GandCrab до запуска нового эксплойта. Специалист отметил, что для AhnLab важнее решить проблему кодирования пользовательских файлов, нежели уязвимости антивируса.

«На самом деле выпустить патч, устраняющий проблему, несложно. Однако мы решили потратить чуть больше времени и полностью пресечь возможность атак шифровальщика», — заявил Хан.

Автор GandCrab не в первый раз обращается к ИБ-аналитикам. Он похвалил специалистов компании BitDefender, выпустивших декриптор для пользовательских файлов. Экспертам удалось получить доступ к командному серверу злоумышленника и завладеть ключами шифрования, что создатель вредоноса прокомментировал словами «Хорошая работа».

По информации аналитиков, жертвами GandCrab стали более 50 тыс. человек. Главными целями атак шифровальщика являются пользователи из США, Великобритании и скандинавских стран. Как заявляют исследователи, автор зловреда получил от своих жертв не менее $600 тыс. в качестве выкупа.

Категории: Вредоносные программы