Шифровальщик GandCrab, обнаруженный в конце января 2018 года, обретает новые формы. В среду 7 февраля новая волна спам-рассылки, содержащей вредоносный PDF-файл, распространила не встречавшуюся до этого DLL-версию зловреда.

Письма замаскированы под платежные квитанции. Темы — Receipt Feb-21310 или Electricity bill Feb-6509 — должны побудить получателя открыть прилагающийся документ.

По содержащейся в нем ссылке с сайта butcaketforthen.com загружается DOC-файл, содержащий макрос, который запускает PowerShell-скрипт, устанавливающий GandCrab с sorinnohoun.com.

Предыдущие версии GandCrab скачивались на компьютер в виде EXE-файла. Шифровальщик распространялся через эксплойт-пак RIG, а затем через веб-страницы, требующие установки шрифта HoeflerText. Новый вид вымогателя существует в форме библиотеки DLL, к которой обращается строка base64 PowerShell-скрипта.

Запущенная программа обращается к домену nomoreransom.coin. Предыдущие версии использовали серверы, расположенные в зоне .BIT, в том числе nomoreransom.bit. После установки соединения зловред добавляет файлам на компьютере расширение GDCB и размещает на жестком диске сообщения с инструкцией к дальнейшим действиям в документе GDCB-DECRYPT.txt.

Мошенники требуют от пользователей скачать браузер Tor и через него открыть ссылку, указанную в письме. На сайте предлагается расшифровать бесплатно один из файлов размером не более 2 MB, а затем приобрести дешифровщик GandCrab за 2,07 DASH — $1580 на момент написания статьи. Это первый вымогатель, который требует выкуп в DASH.

Аналитик Брэд Дункан (Brad Duncan) отмечает, что избежать заражения при грамотном управлении системой несложно. Вредоносные PDF- и DOC-файлы выдают множество предупреждений, прежде чем запускается процесс установки GandCrab. Кроме того, изначальная ссылка чувствительна к IP-адресам — при попытке подключиться через прокси она выдает ошибку 404.

В любом случае, пользователям рекомендуется внимательнее относиться к входящим письмам и не открывать файлы, присланные с неизвестных адресов.

Категории: Другие темы