Новая версия шифровальщика-вымогателя GandCrab «убивает» компьютеры на базе ОС Windows 7. Ошибка в коде блокирует корректную загрузку системы, лишая пользователя возможности взаимодействовать с устройством.

Проблему обнаружили специалисты компании Fortinet, которые изучали третью сборку GandCrab — она появилась в конце апреля. По словам экспертов, механика атаки практически не изменилась — за одним исключением: теперь зловред меняет обои рабочего стола на картинку с инструкцией для пользователя.

Эта особенность и приводит к серьезному сбою на машинах с Windows 7. Чтобы обновить десктоп, GandCrab перезагружает компьютер. По неизвестной причине на этом этапе ОС зависает, не позволяя запуститься системной оболочке. Это означает отсутствие на экране пользовательского интерфейса и возможности использовать компьютер.

Такая модель напомнила экспертам старые версии вымогателей, которые блокировали экран картинкой с требованием выкупа, однако в данном случае речь идет именно о случайной ошибке. В инструкции злоумышленники призывают жертву открыть файл CRAB-DECRYPT.txt — шифровальщик оставляет его в пораженных папках. В отсутствие интерфейса сделать это невозможно, поэтому ошибка зловреда в итоге лишает преступников прибыли.

На компьютерах с Windows 8 и 10 на борту перезагрузка происходит в штатном режиме. Эксперты отмечают, что проблемы с «семеркой» не мешают распространению GandCrab.

Эксперты ИБ пока не подобрали ключ к GandCrab 3, который появился всего через несколько недель после публикации декриптора для предыдущих версий. Создатели вымогателя применяют гибкий подход к разработке, что позволяет им быстро совершенствовать свой продукт. В результате всего за два месяца им удалось получить от жертв 600 тыс. долларов.

Пользователи, которые попали под удар шифровальщика, могут попытаться завершить зловредный процесс через Диспетчер задач. Чтобы избежать повторного поражения, следует удалить .exe-файл вредоноса и убрать запись об автозапуске GandCrab из реестра Windows.

Зловред распространяется через спам-кампании и эксплойт-паки. Таким образом, пользователям следует избегать подозрительных вложений к электронным письмам от неизвестных отправителей и своевременно обновлять ПО.

Категории: Вредоносные программы