GandCrab эволюционировал и не поддается дешифровке

08 марта 2018 г., четверг

Декриптор, ранее созданный для этого вымогателя, против новой версии бессилен.

Исследователи из MalwareHunterTeam обнаружили вторую версию нашумевшего шифровальщика GandCrab, улучшенную и доработанную авторами.

У обновленного зловреда есть несколько отличий от предшественника. Во-первых, поменялись имена командных серверов, с которыми связывается вымогатель перед шифрованием файлов. В этом эксперты видят реверанс создателей GandCrab в сторону румынской полиции, которой удалось получить доступ к прежним C&C-серверам, и участников группы MalwareHunterTeam.

Хосты теперь выглядят следующим образом:

  • politiaromana.bit
  • malwarehunterteam.bit
  • gdcb.bit

Во-вторых, изменилось расширение, которое зловред присваивает зашифрованным документам. Если первая версия создавала GDCB-файлы, то новая дает на выходе образцы вида test.jpg.CRAB. Это позволяет легко определять, какой выпуск GandCrab заразил конкретный компьютер.

Записка с требованием выкупа теперь называется не GDCB-DECRYPT, а CRAB-Decrypt. В ней содержатся не только инструкции по переходу на сайт в onion-домене, но и ссылка на Tox-чат для тех, кто не может установить браузер Tor.

Еще одно отличие относится к внешнему виду сайта с руководством по уплате выкупа: на странице появился список порталов, где жертва может купить криптовалюту DASH, и QR-код, сменивший ссылку на кошелек мошенников. Сам интерфейс страницы стал проще и, по мнению основателя издания Bleeping Computer Лоренса Абрамса (Lawrence Abrams), менее эстетичным.

О новой версии GandCrab его создатели впервые упомянули после того, как в Сеть выложили бесплатный декриптор для первого выпуска вредоноса. Киберпреступники пообещали усилить защиту командных серверов и сделать свое детище менее доступным для взлома. Свои обещания они сдержали: дешифровать GandCrab v2 с помощью захваченных ключей пока нельзя.

Напомним, GandCrab — это первый известный вымогатель, требующий выкуп в DASH. Он существует в EXE и DLL-форматах и распространяется разными путями, в том числе с использованием эксплойт-пака RIG и спам-рассылок.

Threatpost