カニの爪：新しいバージョンのランサムウェアがロシア人以外のすべての人にヒット

読書の時間： 5 分

サイバー犯罪者とサイバーセキュリティの戦士の間の武装競争は、非常に急速に増加しています。 マルウェアの作成者は、検出され中和されたマルウェアに新しいより洗練されたサンプルで即座に対応し、最新のマルウェア対策製品をバイパスします。 GandCrabは、このような新世代マルウェアの明るい代表です。

2018年XNUMX月に最初に発見された、この洗練された狡猾で絶えず変化するランサムウェアには、すでにXNUMXつのバージョンがあり、互いに大きく区別されています。 サイバー犯罪者は、より強力な暗号化と検出を回避するための新機能を常に追加しています。 最後に発見されたComodoマルウェアアナリストのサンプルには、まったく新しいものがあります。それは、Tiny Encryption Algorithm（TEA）を利用して検出を回避します。

GandCrabの分析は、特定の新しい マルウェア、一部の研究者はこれを「ランサムウェアの新しい王」と呼んでいます。 これは、最新のマルウェアが新しいサイバーセキュリティ環境にどのように再調整するかを示す明確な例です。 それでは、GandCrabの進化について詳しく見ていきましょう。

歴史

ガンドクラブ v1

2018年XNUMX月に発見されたGandCrabの最初のバージョンは、一意のキーでユーザーのファイルを暗号化し、DASH暗号通貨の身代金を強要しました。 このバージョンは、RIG EKやGrandSoft EKなどのエクスプロイトキットを介して配布されました。 ランサムウェアは自分自身を「％appdata％Microsoft」 フォルダとシステムプロセスに注入 nslookup.exe.

それはに初期接続を行いました pv4bot.whatismyipaddress.com 感染したマシンのパブリックIPを見つけて実行する nslookup ネットワークに接続するプロセス gandcrab.bit a.dnspod.com "。ビット" トップレベルドメイン。

このバージョンはサイバースペースで急速に広まりましたが、その勝利はXNUMX月の終わりに停止しました。復号化プログラムが作成され、オンラインに配置されたため、被害者は加害者に身代金を支払うことなくファイルを復号化できました。

ガンドクラブ v2

サイバー犯罪者は答えに長く留まりませんでした：2週間で、GandCrabバージョンXNUMXがユーザーを襲いました。 新しい暗号化アルゴリズムがあり、復号化機能が役に立たなくなりました。 暗号化されたファイルの拡張子は.CRABで、ハードコードされたドメインは次のように変更されました ransomware.bitおよびzonealarm.bit。 このバージョンは、XNUMX月にスパムメールを介して広まった。

ガンドクラブ v3

次のバージョンはXNUMX月に登場し、被害者のデスクトップの壁紙を身代金ノートに変更する新しい機能が追加されました。 デスクトップと身代金バナーとの間の絶え間ない切り替えは、犠牲者により心理的な圧力をかけることを確実に目的としていました。 別の新機能は、RunOnce自動実行レジストリキーでした。

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncewhtsxydcvmtC：Documents and SettingsAdministratorApplication DataMicrosoftyrtbsc.exe

ガンドクラブ v4

最後に、Gandcrab v4の新しいXNUMX番目のバージョンがXNUMX月に登場し、新しい暗号化アルゴリズムを含むさまざまな重要な更新が行われました。 Comodoのアナリストが発見したように、マルウェアは検出を回避するためにTiny Encryption Algorithm（TEA）を使用しています。これは、対称暗号化ベースでDavid WheelerとRoger Needhamによって開発された最速かつ効率的な暗号アルゴリズムのXNUMXつです。

また、すべての暗号化ファイルの拡張子がCRABではなく.KRABになりました。

さらに、サイバー犯罪者はランサムウェアの拡散方法を変えました。 現在、それは偽のソフトウェアクラックサイトを通じて広まっています。 ユーザーがこのような「詰め込み」クラックをダウンロードして実行すると、ランサムウェアがコンピューターにドロップされます。

このような偽のソフトウェアクラックの例を次に示します。 Crack_Merging_Image_to_PDF.exe実際には、GandCrab v4です。

ユーザーがこのファイルを実行するとどうなるかを詳しく見てみましょう。

フードの下

上記のように、 GandCrab ransomware 強力で高速なTEA暗号化アルゴリズムを使用して検出を回避します。 復号化ルーチン関数は、GandCrabプレーンファイルを取得します。

復号化が完了すると、元のGandCrab v4ファイルがドロップして実行され、強制レイドが開始されます。

最初に、ランサムウェアはCreateToolhelp32Snapshot APIを使用して次のプロセスのリストをチェックし、実行中のプロセスを終了します。

次に、ランサムウェアはキーボードレイアウトをチェックします。 ロシア語である場合、GandCrabはすぐに実行を終了します。

URLプロセスの生成

重要なことに、GandCrabは特定のランダムアルゴリズムを使用して各ホストのURLを生成します。 このアルゴリズムは、次のパターンに基づいています。

http://{host}/{value1}/{value2}/{filename}.{extension}

マルウェアはパターンのすべての要素を一貫して作成し、一意のURLを生成します。

右側の列にマルウェアによって作成されたURLが表示されます。

情報収集

GandCrabは、感染したマシンから次の情報を収集します。

次に、 アンチウイルス ランニング…

…そして、システムに関する情報を収集します。 その後、収集したすべての情報をXORで暗号化し、コマンドアンドコントロールサーバーに送信します。 重要なことに、ロシア語でわいせつな言語である「jopochlen」キー文字列を暗号化するために使用します。 これは、マルウェアがロシアで発生したことを示すもうXNUMXつの明確な兆候です。

鍵の生成

ランサムウェアは、Microsoft Cryptographic Providerと次のAPIを使用して秘密鍵と公開鍵を生成します。

暗号化プロセスを開始する前に、マルウェアはいくつかのファイルをチェックします…

…および暗号化中にそれらをスキップするフォルダー：

これらのファイルとフォルダーは、ランサムウェアが適切に機能するために必要です。 その後、GandCrabは被害者のファイルの暗号化を開始します。

身代金

身代金

暗号化が終了すると、GandCrabは身代金メモであるKRAB-DECRYPT.txtファイルを開きます。

被害者が加害者の指示に従い、TORサイトにアクセスすると、カウンター付きの身代金バナーが見つかります。

身代金の支払い方法に関する支払いページの内容の詳細な説明。

Comodoサイバーセキュリティ研究チームは、GandCrab通信IPを追跡しました。 以下は、このIPリストの上位XNUMXか国です。

GandCrabは世界中のユーザーにヒットしました。 マルウェアの影響を受けた上位XNUMXか国のリストを次に示します。

コモド脅威研究所の責任者であるファティ・オーハンは、次のように述べています。 「明らかに、私たちはサイバーセキュリティ分野のすべてのプロセスが激しく触媒作用を発揮している時代の最先端にいます。 マルウェアは量だけでなく、即座に模倣する能力も急速に高まっています。 に コモドサイバーセキュリティ2018年第XNUMX四半期の脅威レポート、私たちはランサムウェアのダウンサイジングは力の再配置にすぎないと予測し、近い将来に更新されたより複雑なサンプルに直面するでしょう。 GandCrabの出現は、この傾向を明確に示し、実証しています。 したがって、サイバーセキュリティ市場は、まったく新しい種類のランサムウェアを搭載した、今後の攻撃の波に直面する準備ができているはずです。」

コモドで安全に暮らしましょう！

関連リソース：

無料トライアルを開始 インスタントセキュリティのスコアカードを無料で入手

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://blog.comodo.com/comodo-news/gandcrab-the-new-version-of-ransomware/