A rák karmaiban: A Ransomware új verziója mindenkit elér, kivéve az oroszokat

Olvasási idő: 5 jegyzőkönyv

A kiberbűnözők és a kiberbiztonsági harcosok közötti fegyverkezési verseny óriási sebességgel növekszik. A rosszindulatú programok szerzői azonnal reagálnak minden észlelt és semlegesített kártevőre új, kifinomultabb mintákkal, hogy megkerüljék a legújabb kártevőirtó termékeket. A GandCrab az ilyen új generációs rosszindulatú programok fényes képviselője.

Ennek a kifinomult, ravasz és folyamatosan változó ransomware-nek, amelyet először 2018 januárjában fedeztek fel, már négy verziója van, amelyek jelentősen különböznek egymástól. A kiberbűnözők folyamatosan új funkciókat adtak hozzá a keményebb titkosítás és az észlelés elkerülése érdekében. A Comodo rosszindulatú programelemzői által felfedezett legutóbbi mintában van valami teljesen új: Tiny Encryption Algorithm (TEA) segítségével elkerüli az észlelést.

A GandCrab elemzése nem egy adott új felfedezéseként hasznos malware, egyes kutatók a „zsarolóvírusok új királyának” nevezték. Világos példája annak, hogy a modern rosszindulatú programok hogyan alkalmazkodnak az új kiberbiztonsági környezethez. Tehát menjünk mélyebbre a GandCrab evolúciójába.

A történelem

GandCrab v1

A GandCrab első verziója, amelyet 2018 januárjában fedeztek fel, egyedi kulccsal titkosította a felhasználók fájljait, és váltságdíjat zsarolt ki DASH kriptovalutában. A verziót olyan exploit készleteken keresztül terjesztették, mint a RIG EK és a GrandSoft EK. A zsarolóprogram bemásolta magát a"%appdata%Microsoft" mappába, és beinjektáljuk a rendszerfolyamatba nslookup.exe.

Ez hozta létre a kezdeti kapcsolatot pv4bot.whatismyipaddress.com hogy megtudja a fertőzött gép nyilvános IP-címét, majd futtassa az nslookup folyamat a hálózathoz való csatlakozáshoz gandcrab.bit a.dnspod.com használatával ".bit" legfelső szintű domain.

Ez a verzió gyorsan elterjedt a kibertérben, de győzelme február végén megakadt: létrehoztak egy dekódolót, amelyet online helyeztek el, így az áldozatok váltságdíjat nem fizettek az elkövetőknek.

GandCrab v2

A kiberbűnözők nem sokáig maradtak a válasznál: egy hét alatt a GandCrab 2-es verziója került a felhasználók elé. Új titkosítási algoritmusa volt, ami használhatatlanná tette a visszafejtőt. A titkosított fájlok .CRAB kiterjesztésűek voltak, a keménykódolt tartományok pedig a következőre módosultak ransomware.bit és zonealarm.bit. Ezt a verziót márciusban spam e-mailekkel terjesztették.

GandCrab v3

A következő verzió áprilisban jelent meg azzal az új lehetőséggel, hogy az áldozatok asztali háttérképeit váltságdíjra változtatják. Az asztali számítógép és a váltságdíj-szalag közötti folyamatos váltás határozottan az volt, hogy nagyobb pszichológiai nyomást gyakoroljon az áldozatokra. Egy másik új szolgáltatás a RunOnce automatikus futtatási rendszerleíró kulcsa volt:

HKLMSZOFTVERMicrosoftWindowsCurrentVersionRunOncewhtsxydcvmtC:Documents and SettingsAdministratorApplication DataMicrosoftyrtbsc.exe

GandCrab v4

Végül a Gandcrab v4 új, negyedik verziója júliusban számos jelentős frissítéssel jelentkezett, köztük egy új titkosítási algoritmussal. Amint azt a Comodo elemzője felfedezte, a kártevő immár Tiny Encryption Algorithm (TEA) segítségével elkerüli az észlelést – ez az egyik leggyorsabb és leghatékonyabb kriptográfiai algoritmus, amelyet David Wheeler és Roger Needham fejlesztett ki a szimmetrikus titkosítási alapon.

Ezenkívül minden titkosított fájl .KRAB kiterjesztéssel rendelkezik CRAB helyett.

Ezenkívül a kiberbűnözők megváltoztatták a zsarolóprogramok terjesztésének módját. Most hamis szoftvereket feltörő webhelyeken keresztül terjed. Amint a felhasználó letölti és lefuttat egy ilyen „töltelék” cracket, a zsarolóprogram a számítógépre kerül.

Íme egy példa egy ilyen hamis szoftver-törésre. Crack_Merging_Image_to_PDF.exe, a valóságban a GandCrab v4.

Nézzük meg részletesen, mi történik, ha egy felhasználó futtatja ezt a fájlt.

A motorháztető alatt

Mint fentebb említettük, a GandCrab ransomware erős és gyors TEA titkosítási algoritmust használ az észlelés elkerülése érdekében. A visszafejtési rutin funkció megkapja a GandCrab egyszerű fájlt.

A visszafejtés befejezése után az eredeti GandCrab v4 fájl leesik, és elindul, elindítva a gyilkos raidet.

Először is, a ransomware ellenőrzi a következő folyamatok listáját a CreateToolhelp32Snapshot API-val, és leállítja bármelyik futását:

Ezután a ransomware ellenőrzi a billentyűzetkiosztást. Ha úgy tűnik, hogy orosz, a GandCrab azonnal leállítja a végrehajtást.

URL generálási folyamat

Lényeges, hogy a GandCrab egy specifikus véletlenszerű algoritmust használ az egyes gazdagépek URL-jének generálására. Ez az algoritmus a következő mintán alapul:

http://{host}/{value1}/{value2}/{filename}.{extension}

A rosszindulatú program következetesen létrehozza a minta minden elemét, ami egyedi URL-t eredményez.

A rosszindulatú program által létrehozott URL a jobb oldali oszlopban látható.

Információgyűjtés

A GandCrab a következő információkat gyűjti a fertőzött gépről:

Ezután ellenőrzi, hogy van-e egy víruskereső futás ...

… és összegyűjti az információkat a rendszerről. Ezt követően az összes összegyűjtött információt XOR-val titkosítja, és elküldi a Command-and-Control szervernek. Figyelemre méltó, hogy a titkosításhoz a „jopochlen” kulcssort használja, amely egy obszcén nyelv oroszul. Ez még egy egyértelmű jele a kártevő orosz eredetű származásának.

Kulcsgenerálás

A zsarolóprogram privát és nyilvános kulcsokat generál a Microsoft Cryptographic Provider és a következő API-k segítségével:

A titkosítási folyamat megkezdése előtt a rosszindulatú program ellenőriz néhány fájlt…

… és mappákat, hogy kihagyja őket a titkosítás során:

Ezek a fájlok és mappák szükségesek a ransomware megfelelő működéséhez. Ezt követően a GandCrab elkezdi titkosítani az áldozat fájljait.

A váltságdíjat

A váltságdíjat

Amikor a titkosítás véget ért, a GandCrab megnyit egy KRAB-DECRYPT.txt fájlt, amely a váltságdíj jegye:

Ha az áldozat követi az elkövetők utasításait, és felkeresi a TOR oldalát, megtalálja a váltságdíj szalagcímét a számlálóval:

A fizetési oldal részletes utasításokat tartalmaz a váltságdíj kifizetésére vonatkozóan.

A Comodo kiberbiztonsági kutatócsoportja nyomon követte a GandCrab kommunikációs IP-címeit. Az alábbiakban felsoroljuk a tíz legjobb országot ebből az IP-listából.

A GandCrab világszerte elérte a felhasználókat. Íme a kártevő által leginkább érintett tíz ország listája.

„Elemzőinknek ez a megállapítása egyértelműen azt mutatja, hogy a rosszindulatú programok gyorsan változnak és fejlődnek a kiberbiztonsági szolgáltatók ellenintézkedéseihez való alkalmazkodásuk gyorsaságában” – kommentálja Fatih Orhan, a Comodo Threat Research Labs vezetője. „Nyilvánvalóan annak az időnek a küszöbén járunk, amikor a kiberbiztonság területén minden folyamat intenzíven katalizál. A rosszindulatú programok nemcsak mennyiségükben, hanem azonnali utánzási képességükben is gyorsan nőnek. Ban ben Comodo Cybersecurity 2018. első negyedévi fenyegetésjelentés, azt jósoltuk, hogy a ransomware leépítése csak az erők átcsoportosítása volt, és a közeljövőben frissített és bonyolultabb mintákkal kell szembenéznünk. A GandCrab megjelenése egyértelműen megerősíti és demonstrálja ezt a tendenciát. Így a kiberbiztonsági piacnak készen kell állnia arra, hogy szembenézzen a támadások közelgő hullámaival, amelyek vadonatúj ransomware-típusokkal vannak megtöltve.”

Éljen biztonságban a Comodóval!

Kapcsolódó források:

INGYENES PRÓBA INDÍTÁSA INGYEN SZEREZZE MEG AZONNALI BIZTONSÁGI EREDMÉNYKÁRTYÁT

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://blog.comodo.com/comodo-news/gandcrab-the-new-version-of-ransomware/