Британский ИБ-исследователь Кевин Бомон (Kevin Beaumont) обнаружил в Интернете новый вариант вымогателя GandCrab — сборку 4.1. Анализ показал, что обновленный зловред способен шифровать данные в автономном режиме и распространяться путем эксплойта на другие Windows-машины в сети, в том числе на Windows XP и Windows Server 2003.

Новая итерация GandCrab объявилась почти сразу после выпуска версии 4 этого шифровальщика, в которой авторы реализовали ряд усовершенствований. Наиболее заметные из них — смена шифра и расширения, добавляемого к зашифрованным файлам.

Для самораспространения GandCrab 4.1, по словам Бомона, использует эксплойт EternalBlue (к уязвимости CVE-2017-0144 в SMB-протоколе Windows) и при этом атакует все версии Windows — даже XP, снятую с поддержки в апреле 2014 года. Тем не менее эта устаревшая ОС еще много где используется — например, на промышленных предприятиях и в медицинских учреждениях, где к таким машинам привязаны МРТ-сканеры.

GandCrab хорошо известен, его прежние версии детектирует большинство антивирусов, однако на Windows XP может не оказаться такой защиты. Поддержка антивирусных решений Microsoft Security Essentials (MSE) и Malicious Software Removal Tool (MSRT) на этой системе тоже давно упразднена — еще в июле 2015 года.

Для защиты от эксплойта SMB-сервиса на Windows XP Бомон настоятельно рекомендует установить патч, который Microsoft выпустила для покинутой ею ОС, чтобы сдержать стремительное шествие вымогателя WannaCry. Более новые версии Windows получили заплатки против EternalBlue тремя месяцами ранее, то есть еще до эпидемии WannaCry.

В отсутствие патча исследователь советует отключить SMB1 на Windows. Пользователи Windows XP, лишенные этой возможности, могут с той же целью установить антивирус и применить сегментирование системы.

Категории: Аналитика, Вредоносные программы