Bleeping Computer сообщает о появлении новой, четвертой по счету версии вымогателя GandCrab. Анализ показал, что активно развивающийся зловред сменил алгоритм шифрования, расширение, добавляемое к зашифрованным файлам, а также название файла с требованием выкупа и дизайн onion-сайта.

GandCrab появился в Интернете в начале текущего года и до сих пор актуален как угроза. Этот шифровальщик вполне успешен и часто обновляется. Было подмечено, что авторы GandCrab используют не совсем обычный подход к разработке: вначале выпускают сырую версию, а потом ее дорабатывают. Так появились стабильные вторая и нынешняя, четвертая версии. Третья версия зловреда, которую вирусописатели выпустили в конце апреля, содержала ошибку, из-за которой Windows 7 после заражения переставала корректно грузиться.

Известно также, что авторы GandCrab сами им не пользуются, а сдают в аренду другим злоумышленникам, поэтому данный вымогатель может распространяться разными способами, в том числе через эксплойт и спам-рассылки. Новую версию шифровальщика, по свидетельству экспертов, можно также, поддавшись на провокацию, загрузить со взломанного сайта. Злоумышленники внедряют на такие ресурсы поддельные блог-записи с рекламой нового инструмента для взлома лицензионных программ. Если посетителя заинтересует это предложение, вместо «кряка» он получит инсталлятор GandCrab.

Судя по игривому посланию, которое обнаружил Марсело Риверо (Marcelo Rivero) из Malwarebytes в коде отладчика, GandCrab версии 4 использует потоковый шифр Salsa20, созданный Дэниелом Бернштейном:  Daniel J. Bernstein let’s dance salsa («Дэниел Бернштейн, станцуем сальсу?»). Насколько известно, прежние версии GandCrab оперировали ключом RSA.

Файлы, пригодные для шифрования, обновленный зловред ищет не только на компьютере жертвы, но также на совместно используемых сетевых ресурсах. После преобразования к полному имени файла добавляется расширение .KRAB. Создаваемый GandCrab 4 файл с обращением к жертве именуется KRAB-DECRYPT.txt; кроме инструкций, он содержит зашифрованную информацию о заражении. Эти данные нужны авторам зловреда для получения ключа шифрования после того, как жертва уплатит выкуп.

Сайт GandCrab, используемый для приема платежей, по-прежнему размещается в сети Tor. На этом сайте имеется специальный раздел, через который можно обратиться к вирусописателям с вопросами, а также расшифровать один файл бесплатно — для пробы. На настоящий момент за ключ для расшифровки злоумышленники требуют 1,2 тыс. долларов (в криптовалюте DASH). Если жертва не успела произвести оплату в назначенный срок, размер выкупа удваивается.

Бесплатный декриптор для GandCrab 4 пока не создан, однако эксперты не советуют платить мошенникам: всегда есть риск, что, взяв деньги, те ничего не дадут взамен. К тому же не стоит поощрять киберпреступников, лучше заблаговременно создать резервные копии и в случае заражения восстанавливать файлы из них.

Категории: Аналитика, Вредоносные программы, Главное