Пятая версия шифровальщика GandCrab обнаружена ИБ-специалистом под псевдонимом @siri_urz. Новый штамм присваивает закодированным файлам уникальное расширение, по которому злоумышленники могут идентифицировать жертву, а также создает требование о выкупе в формате HTML. Свежая сборка вредоносной программы распространяется с эксплойт-китом Fallout.

Сообщение о пятой версии вымогателя появилось в твиттере исследователя 24 сентября. Как выяснил специалист, зловред присваивает зашифрованным файлам расширение из пяти символов, уникальное для каждой атаки. Например, оригинальный документ text.doc после кодирования может называться text.doc.fghjs, где fghjs — случайным образом выбранное сочетание букв.

Названия документов с требованием выкупа также содержат уникальный идентификатор, аналогичный расширению зашифрованных объектов. Например, FGHJS-DECRYPT.html и FGHJS-DECRYPT.txt. Ранее вымогатель оставлял жертве только сообщения в текстовом формате.

Инструкция содержит ссылку на страницу оплаты, расположенную в сети Tor. Авторы вредоносной программы требуют с жертвы $800 в криптовалюте Dash. Злоумышленники также устанавливают срок для перевода денег, после которого сумма увеличивается. Для демонстрации своих возможностей они предлагают декодировать один файл бесплатно.

Набор эксплойтов Fallout, ранее уже распространявший GandCrab, оперативно включил пятую версию шифровальщика в свой состав. Команда ИБ-исследователей nao_sec обратила внимание на обновление криминального комплекта 25 сентября — через день после выпуска зловреда.

Специалисты пока не научились расшифровывать пораженные GandCrab файлы. В июле этого года компания AhnLab представила «вакцину», которая убеждала зловред в том, что компьютер уже инфицирован. Авторы вымогателя ответили на выпуск «противоядия» новой версией своего скрипта, которая содержала эксплойт, приводивший к зависанию антивируса AhnLab V3 Lite и сбою в работе Windows.

Независимый исследователь под ником Valthek обнаружил целый ряд новшеств в пятой версии GandCrab. Как оказалось, шифровальщик теперь может повысить свои привилегии до уровня SYSTEM, используя эксплойт к недавно опубликованной уязвимости  в Планировщике заданий Windows.

Кроме того, авторы зловреда оперативно решили проблему с совместимостью с Windows XP и Vista — по словам эксперта, некоторые образцы GandCrab 5 на этих системах не запускались.

Valthek также создал вакцину против GandCrab 5, препятствующую его запуску после загрузки.

Категории: Вредоносные программы, Главное