In The Crab's Claws: новая версия вымогателей поражает всех, кроме россиян

Время чтения: 5 минут

Гонка вооружений между киберпреступниками и воинами кибербезопасности растет с огромной скоростью. Авторы вредоносных программ немедленно реагируют на любое обнаруженное и обезвреженное вредоносное ПО новыми, более сложными образцами, чтобы обойти самые свежие продукты для защиты от вредоносных программ. GandCrab является ярким представителем такого вредоносного ПО нового поколения.

Впервые обнаруженный в январе 2018 года, этот изощренный, хитрый и постоянно меняющийся вымогатель уже имеет четыре версии, значительно отличающиеся друг от друга. Киберпреступники постоянно добавляли новые функции для более жесткого шифрования и предотвращения обнаружения. В последнем примере, обнаруженном аналитиками вредоносного ПО Comodo, есть нечто совершенно новое: он использует алгоритм Tiny Encryption Algorithm (TEA), чтобы избежать обнаружения.

Анализ GandCrab полезен не как исследование конкретного нового вредоносных программНа протяжении всего исследования некоторые исследователи называли его «новым королем вымогателей». Это яркий пример того, как современные вредоносные программы адаптируются к новой среде кибербезопасности. Итак, давайте углубимся в эволюцию GandCrab.

История

GandCrab v1

Первая версия GandCrab, обнаруженная в январе 2018 года, зашифровывала файлы пользователей с помощью уникального ключа и вымогала выкуп в криптовалюте DASH. Версия была распространена через наборы эксплойтов, такие как RIG EK и GrandSoft EK. Вымогатель скопировал себя в«% APPDATA% Microsoft» папка и вводится в системный процесс nslookup.exe.

Он сделал первоначальное подключение к pv4bot.whatismyipaddress.com выяснить публичный IP-адрес зараженной машины, а затем запустить nslookup процесс подключения к сети gandcrab.bit a.dnspod.com используя ".немного" домен верхнего уровня.

Эта версия быстро распространилась в киберпространстве, но ее триумф был остановлен в конце февраля: был создан расшифровщик и размещен в сети, что позволило жертвам расшифровать свои файлы, не выплачивая выкуп злоумышленникам.

GandCrab v2

Киберпреступники не заставили себя долго ждать ответа: через неделю версия 2 GandCrab поразила пользователей. У него был новый алгоритм шифрования, делающий расшифровщик бесполезным. Зашифрованные файлы имеют расширение .CRAB, а жестко закодированные домены изменены на ransomware.bit и zonealarm.bit, Эта версия была распространена через спам в марте.

GandCrab v3

Следующая версия вышла в апреле с новой возможностью изменить обои рабочего стола жертвы на записку с требованием выкупа. Постоянное переключение между рабочим столом и баннером с требованием выкупа было определенно направлено на оказание психологического давления на жертв. Еще одной новой функцией стал раздел реестра автозапуска RunOnce:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncewhtsxydcvmtC: Документы и настройкиАдминистраторПрименение приложенияMicrosoftyrtbsc.exe

GandCrab v4

Наконец, новая, четвертая версия Gandcrab v4 вышла в июле с множеством значительных обновлений, включая новый алгоритм шифрования. Как обнаружил аналитик Comodo, вредоносная программа теперь использует алгоритм Tiny Encryption Algorithm (TEA), чтобы избежать обнаружения - один из самых быстрых и эффективных криптографических алгоритмов, разработанный Дэвидом Уилером и Роджером Нидхэмом на основе симметричного шифрования.

Кроме того, все зашифрованные файлы теперь имеют расширение .KRAB вместо CRAB.

Кроме того, киберпреступники изменили способ распространения вымогателей. Теперь это распространяется через поддельные сайты программного взлома. Как только пользователь загружает и запускает такую ​​«начинку», вымогатель падает на компьютер.

Вот пример такой фальшивой программной кряки. Crack_Merging_Image_to_PDF.exeНа самом деле это GandCrab v4.

Давайте посмотрим в деталях, что произойдет, если пользователь запустит этот файл.

Под капотом

Как уже упоминалось выше, GansCrab ransomware использует надежный и быстрый алгоритм шифрования TEA, чтобы избежать обнаружения. Функция дешифрования получает простой файл GandCrab.

После того, как расшифровка завершена, оригинальный файл GandCrab v4 удаляется и запускается, запуская убийственный рейд.

Во-первых, вымогатель проверяет список следующих процессов с помощью API-интерфейса CreateToolhelp32Snapshot и завершает любой из них:

Затем вымогатель проверяет раскладку клавиатуры. Если он окажется русским, GandCrab немедленно прекращает выполнение.

Генерация процесса URL

Важно отметить, что GandCrab использует специальный случайный алгоритм для генерации URL для каждого хоста. Этот алгоритм основан на следующем шаблоне:

http://{host}/{value1}/{value2}/{filename}.{extension}

Вредоносная программа последовательно создает все элементы шаблона, в результате чего получается уникальный URL-адрес.

Вы можете увидеть URL, созданный вредоносным ПО, в правом столбце.

Сбор информации

GandCrab собирает следующую информацию с зараженной машины:

Затем он проверяет антивирус Бег…

... и собирает информацию о системе. После этого он шифрует всю собранную информацию с помощью XOR и отправляет ее на командно-контрольный сервер. Примечательно, что он использует для шифрования «jopochlen» ключевую строку, которая является нецензурной лексикой на русском языке. Это еще один явный признак российского происхождения вредоносного ПО.

Генерация ключей

Программа-вымогатель генерирует закрытые и открытые ключи, используя Microsoft Cryptographic Provider и следующие API:

Перед началом процесса шифрования вредоносная программа проверяет наличие некоторых файлов…

... и папки, чтобы пропустить их во время шифрования:

Эти файлы и папки необходимы для правильной работы вымогателей. После этого GandCrab начинает шифровать файлы жертвы.

Выкуп

Выкуп

Когда шифрование закончено, GandCrab открывает файл KRAB-DECRYPT.txt, который является запиской выкупа:

Если жертва последует инструкциям преступников и зайдет на их сайт TOR, она найдет выкуп с надписью:

На странице оплаты содержится подробная инструкция о том, как заплатить выкуп.

Исследовательская группа Comodo по кибербезопасности проследила IP-адреса связи GandCrab. Ниже приведена десятка стран из этого списка IP-адресов.

GandCrab поразил пользователей по всему миру. Вот список из десяти стран, наиболее пострадавших от вредоносных программ.

«Этот вывод наших аналитиков ясно демонстрирует, что вредоносное ПО стремительно меняется и развивается благодаря своей быстрой адаптации к контрмерам поставщиков кибербезопасности», - комментирует Фатих Орхан, руководитель исследовательских лабораторий Comodo Threat Research Labs. «Очевидно, что мы находимся на грани того времени, когда все процессы в области кибербезопасности интенсивно катализируют. Вредоносное ПО быстро растет не только по количеству, но и по способности мгновенно имитировать. В Comodo Cybersecurity: отчет об угрозах за первый квартал 2018 годаМы предсказали, что сокращение количества вымогателей было просто передислокацией сил, и мы столкнемся с обновленными и более сложными образцами в ближайшем будущем. Появление GandCrab наглядно подтверждает и демонстрирует эту тенденцию. Таким образом, рынок кибербезопасности должен быть готов столкнуться с предстоящими волнами атак, наполненных совершенно новыми типами вымогателей ».

Жить безопасно с Comodo!

Связанные ресурсы:

НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://blog.comodo.com/comodo-news/gandcrab-the-new-version-of-ransomware/