وقت القراءة: 5 دقائق
يتزايد سباق التسلح بين المجرمين الإلكترونيين ومحاربي الأمن السيبراني بسرعة هائلة. يتفاعل مؤلفو البرامج الضارة على الفور مع أي برامج ضارة تم اكتشافها وإبطال مفعولها بعينات جديدة أكثر تعقيدًا لتجاوز أحدث منتجات مكافحة البرامج الضارة. GandCrab هو ممثل مشرق لمثل هذه البرامج الضارة من الجيل الجديد.
اكتشف لأول مرة في يناير 2018 ، هذه الفدية المعقدة والماكرة والمتغيرة باستمرار لديها بالفعل أربعة إصدارات متميزة بشكل ملحوظ عن بعضها البعض. أضاف مجرمو الإنترنت باستمرار ميزات جديدة لتشفير أكثر صعوبة وتجنب الكشف. اكتشفت العينة الأخيرة التي اكتشفها محللو البرامج الضارة من Comodo شيئًا جديدًا تمامًا: فهي تستخدم خوارزمية تشفير صغيرة (TEA) لتجنب الكشف.
يعد تحليل GandCrab مفيدًا ليس كاستكشاف جديد معين البرمجيات الخبيثة، في جميع أنحاء بعض الباحثين أطلقوا عليه اسم "ملك جديد من برامج الفدية". إنه مثال واضح على كيفية تعديل البرامج الضارة الحديثة لبيئة الأمن السيبراني الجديدة. لذا ، دعونا نتعمق في تطور GandCrab.
تاريخ
GandCrab v1
قام الإصدار الأول من GandCrab ، الذي تم اكتشافه في يناير 2018 ، بتشفير ملفات المستخدمين بمفتاح فريد وابتزاز فدية بعملة التشفير DASH. تم توزيع النسخة عبر مجموعات استغلال مثل RIG EK و GrandSoft EK. نسخ برامج الفدية نفسها في"٪ appdata٪ Microsoft" مجلد وحقن لعملية النظام nslookup.exe.
جعل الاتصال الأولي ل pv4bot.whatismyipaddress.com لمعرفة IP العام للجهاز المصاب ، ثم قم بتشغيله NSLOOKUP عملية للاتصال بالشبكة gandcrab.bit a.dnspod.com يستخدم ال ".قليلا" نطاق المستوى الأعلى.
انتشر هذا الإصدار بسرعة في الفضاء السيبراني لكن انتصاره توقف في نهاية فبراير: تم إنشاء أداة فك التشفير ووضعها على الإنترنت ، وبالتالي السماح للضحايا بفك تشفير ملفاتهم دون دفع فدية للجناة.
GandCrab v2
لم يمضي مجرمو الإنترنت فترة طويلة مع الإجابة: في غضون أسبوع ، ضرب الإصدار 2 من GandCrab المستخدمين. كان لديه خوارزمية تشفير جديدة تجعل فك التشفير عديم الفائدة. الملفات المشفرة لها امتداد .CRAB وتغيرت المجالات المشفرة إلى ransomware.bit و zonealarm.bit. تم نشر هذا الإصدار عبر رسائل البريد الإلكتروني العشوائية في مارس.
GandCrab v3
جاء الإصدار التالي في أبريل بقدرة جديدة على تغيير خلفيات سطح المكتب للضحية إلى ملاحظة فدية. كان التبديل المستمر بين سطح المكتب وراية الفدية يهدف بالتأكيد إلى ممارسة المزيد من الضغط النفسي على الضحايا. ميزة جديدة أخرى كانت مفتاح التسجيل RunOnce التشغيل التلقائي:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncewhtsxydcvmtC: المستندات والإعدادات المسؤول بيانات التطبيق Microsoftyrtbsc.exe
GandCrab v4
أخيرًا ، تم إصدار الإصدار الرابع من Gandcrab v4 في يوليو مع مجموعة متنوعة من التحديثات المهمة ، بما في ذلك خوارزمية تشفير جديدة. كما اكتشف محلل Comodo ، تستخدم البرامج الضارة الآن خوارزمية Tiny Encryption (TEA) لتجنب الاكتشاف - إحدى أسرع خوارزميات التشفير وأكثرها كفاءة التي طورها David Wheeler و Roger Needham في قاعدة التشفير المتناظرة.
أيضًا ، تحتوي جميع الملفات المشفرة الآن على ملحق .KRAB بدلاً من CRAB.
بالإضافة إلى ذلك ، قام مجرمو الإنترنت بتغيير طريقة نشر برامج الفدية. الآن انتشر من خلال مواقع الكراك البرمجيات وهمية. بمجرد أن يقوم المستخدم بتنزيل وتشغيل هذا الكراك "الحشو" ، يسقط برنامج الفدية على الكمبيوتر.
هنا مثال لمثل هذه البرامج المزيفة. Crack_Merging_Image_to_PDF.exe، في الواقع ، هو GandCrab v4.
دعنا نرى بالتفصيل ما سيحدث إذا قام المستخدم بتشغيل هذا الملف.
تحت الغطاء
كما ذكر أعلاه ، فإن GandCrab رانسومواري يستخدم خوارزمية تشفير TEA قوية وسريعة لتجنب الكشف. وظيفة روتين فك التشفير تحصل على ملف GandCrab العادي.
بعد اكتمال عملية فك التشفير ، يسقط ملف GandCrab v4 الأصلي ويعمل ، ويبدأ غارة القتل.
أولاً ، يتحقق برنامج الفدية من قائمة العمليات التالية باستخدام CreateToolhelp32Snapshot API وإنهاء أي منها قيد التشغيل:
ثم يتحقق برنامج الفدية من تخطيط لوحة المفاتيح. إذا ظهر أنه روسي ، ينهي GandCrab التنفيذ على الفور.
إنشاء معالجة URL
بشكل ملحوظ ، يستخدم GandCrab خوارزمية عشوائية محددة لإنشاء عنوان URL لكل مضيف. تعتمد هذه الخوارزمية على النمط التالي:
http://{host}/{value1}/{value2}/{filename}.{extension}
تنشئ البرامج الضارة باستمرار جميع عناصر النمط ، مما ينتج عنه عنوان URL فريد.
يمكنك مشاهدة عنوان URL الذي تم إنشاؤه بواسطة البرامج الضارة في العمود الأيمن.
جمع المعلومات
يجمع GandCrab المعلومات التالية من الجهاز المصاب:
ثم يتحقق ل الحماية من الفيروسات ادارة…
... وجمع المعلومات حول النظام. بعد ذلك ، يقوم بتشفير جميع المعلومات التي تم جمعها باستخدام XOR وإرسالها إلى خادم القيادة والتحكم. إلى حد كبير ، فإنه يستخدم لتشفير سلسلة المفاتيح "jopochlen" التي هي لغة فاحشة باللغة الروسية. هذه علامة أكثر وضوحًا على نشأة روسيا للبرامج الضارة.
إنشاء مفتاح
يقوم برنامج الفدية بإنشاء مفاتيح خاصة وعامة باستخدام Microsoft Cryptographic Provider وواجهات برمجة التطبيقات التالية:
قبل بدء عملية التشفير ، تبحث البرامج الضارة عن بعض الملفات ...
... والمجلدات لتخطيها أثناء التشفير:
هذه الملفات والمجلدات ضرورية لكي تعمل برامج الفدية بشكل صحيح. بعد ذلك ، يبدأ GandCrab في تشفير ملفات الضحية.
الفدية
الفدية
عندما ينتهي التشفير ، يفتح GandCrab ملف KRAB-DECRYPT.txt وهو ملاحظة الفدية:
إذا اتبعت الضحية تعليمات الجناة وذهبت إلى موقع تور ، فستجد لافتة الفدية مع العداد:
تحتوي محتويات صفحة الدفع على تعليمات تفصيلية حول كيفية دفع الفدية.
تتبع فريق بحث Comodo للأمن السيبراني عناوين IP الخاصة بالاتصالات GandCrab. فيما يلي أهم عشر دول من قائمة عناوين IP هذه.
ضرب GandCrab المستخدمين في جميع أنحاء العالم. في ما يلي قائمة بالدول العشرة الأولى المتأثرة بالبرامج الضارة.
يقول فاتح أورهان ، رئيس مختبرات أبحاث تهديدات كومودو: "تبين هذه النتائج التي توصل إليها محللونا بوضوح أن البرامج الضارة تتغير وتتطور بسرعة في سرعة تكيفها مع الإجراءات المضادة لموردي الأمن السيبراني". "من الواضح أننا على حافة الوقت الذي تحفز فيه جميع العمليات في مجال الأمن السيبراني بشكل مكثف. تنمو البرامج الضارة بسرعة ليس فقط من حيث الكمية ولكن أيضًا من حيث قدرتها على التقليد على الفور. في تقرير تهديد الأمن السيبراني للكومودو للربع الأول 2018، توقعنا أن تقليص حجم برامج الفدية كان مجرد إعادة انتشار للقوات وسنواجه عينات محدثة وأكثر تعقيدًا في المستقبل القريب. مظهر GandCrab يؤكد ويثبت بوضوح هذا الاتجاه. وبالتالي ، يجب أن يكون سوق الأمن السيبراني جاهزًا لمواجهة الموجات القادمة من الهجمات المحملة بأنواع برامج الفدية الجديدة تمامًا. "
عش بأمان مع Comodo!
موارد ذات الصلة:
بدء محاكمة حرة احصل على بطاقة نقاط الأمان الفورية الخاصة بك مجانًا
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://blog.comodo.com/comodo-news/gandcrab-the-new-version-of-ransomware/
- 2018
- a
- القدرة
- من نحن
- فوق
- وأضاف
- إضافة
- بعد
- خوارزمية
- خوارزميات
- الكل
- سابقا
- المحلل
- المحللين
- و
- آخر
- إجابة
- الحماية من الفيروسات
- API
- واجهات برمجة التطبيقات
- ابريل
- الهجمات
- الكتاب
- تجنب
- لوحة الاعلان
- قاعدة
- على أساس
- أقل من
- ما بين
- قطعة
- المدونة
- تسمى
- تغيير
- التغييرات
- متغير
- التحقق
- الشيكات
- واضح
- بوضوح
- عمود
- تأتي
- تعليقات
- Communication
- إكمال
- معقد
- الكمبيوتر
- التواصل
- صلة
- ثابت
- باستمرار
- محتويات
- Counter
- دولة
- صدع
- خلق
- يخلق
- التشفير
- مجرمو الإنترنت
- الأمن السيبراني
- الفضاء الإلكتروني
- اندفاع
- ديفيد
- فك تشفير
- أعمق
- قطعا
- شرح
- سطح المكتب
- مفصلة
- تفاصيل
- الكشف عن
- كشف
- المتقدمة
- فعل
- اكتشف
- وزعت
- وثائق
- نطاق
- المجالات
- التنزيلات
- قطرات
- أثناء
- كل
- حافة
- فعال
- عناصر
- رسائل البريد الإلكتروني
- مشفرة
- التشفير
- ضخم
- البيئة
- الحدث/الفعالية
- كل شخص
- تطور
- مثال
- استغلال
- استكشاف
- تمديد
- الوجه
- زائف
- FAST
- أسرع
- الميزات
- المميزات
- حقل
- قم بتقديم
- ملفات
- العثور على
- الاسم الأول
- متابعيك
- متابعات
- القوات
- رابع
- مجانًا
- طازج
- تبدأ من
- وظيفة
- مستقبل
- جمع
- توليد
- يولد
- توليد
- جيل
- دولار فقط واحصل على خصم XNUMX% على جميع
- Go
- يذهب
- خير
- متزايد
- يحدث
- رئيس
- هنا
- ضرب
- المشاهدات
- مضيف
- كيفية
- كيفية
- HTTPS
- فورا
- in
- بما فيه
- في ازدياد
- معلومات
- في البداية
- لحظة
- بدلًا من ذلك
- تعليمات
- IP
- IT
- نفسها
- يناير
- يوليو
- القفل
- مفاتيح
- ملك
- مختبرات
- لغة
- اسم العائلة
- تصميم
- السماح
- قائمة
- محمل
- طويل
- آلة
- صنع
- القيام ب
- البرمجيات الخبيثة
- مارس
- تجارة
- ماكس العرض
- المذكورة
- مایکروسافت
- تقدم
- الأكثر من ذلك
- ضروري
- شبكة
- جديد
- مزايا جديدة
- التالي
- ONE
- online
- يفتح
- أصلي
- أخرى
- خاص
- نمط
- دفع
- وسائل الدفع
- PHP
- عادي
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- وتوقع
- الضغط
- خاص
- عملية المعالجة
- العمليات
- المنتجات
- بصورة صحيحة
- مزود
- جمهور
- المفاتيح العامة
- كمية
- ربع
- بسرعة
- سباق
- عشوائية
- فدية
- الفدية
- رد فعل
- استعداد
- واقع
- سجل
- ممثل
- بحث
- الباحثين
- الموارد
- مما أدى
- تخلص من
- تلاعب
- يجري
- تشغيل
- الروسية
- الروس
- سجل الأداء
- تأمين
- أمن
- ينبغي
- إشارة
- هام
- بشكل ملحوظ
- الموقع
- المواقع
- So
- تطبيقات الكمبيوتر
- بعض
- شيء
- متطور
- البريد المزعج
- محدد
- سرعة
- انتشار
- ابتداء
- يبدأ
- إقامة
- توقف
- قوي
- هذه
- نظام
- شاي
- فريق
- •
- المعلومات
- العالم
- من مشاركة
- شيء
- التهديد
- عبر
- طوال
- الوقت
- إلى
- افضل مستوى
- نطاق المستوى الأعلى
- تور
- اكثر شيوعا
- أنواع
- فريد من نوعه
- المقبلة
- تحديث
- آخر التحديثات
- URL
- مستخدم
- المستخدمين
- يستخدم
- تشكيلة
- الإصدار
- بواسطة
- ضحية
- ضحايا
- ووريورز
- أمواج
- أسبوع
- ابحث عن
- سوف
- بدون
- العالم
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
