In The Crab's Claws: Nova različica izsiljevalske programske opreme je prizadela vse razen Rusov

Čas branja: 5 min

Oboroževalna tekma med kiberkriminalci in bojevniki za kibernetsko varnost narašča z ogromno hitrostjo. Avtorji zlonamerne programske opreme se takoj odzovejo na vsako odkrito in nevtralizirano zlonamerno programsko opremo z novimi, bolj izpopolnjenimi vzorci, da zaobidejo najnovejše izdelke proti zlonamerni programski opremi. GandCrab je svetel predstavnik takšne zlonamerne programske opreme nove generacije.

Ta sofisticirana, zvita in nenehno spreminjajoča se izsiljevalska programska oprema, ki je bila prvič odkrita januarja 2018, ima že štiri različice, ki se med seboj bistveno razlikujejo. Kibernetski kriminalci nenehno dodajajo nove funkcije za težje šifriranje in izogibanje odkrivanju. Zadnji vzorec zlonamerne programske opreme Comodo, ki so ga odkrili analitiki Comodo, ima nekaj povsem novega: uporablja algoritem drobnega šifriranja (TEA), da se izogne ​​odkrivanju.

Analiziranje GandCraba ni uporabno kot raziskovanje določenega novega zlonamerna programska oprema, so ga nekateri raziskovalci poimenovali »novi kralj izsiljevalske programske opreme«. To je jasen primer, kako se sodobna zlonamerna programska oprema prilagaja novemu okolju kibernetske varnosti. Torej, pojdimo globlje v razvoj GandCrab-a.

Zgodovina

GandCrab v1

Prva različica GandCrab, odkrita januarja 2018, je šifrirala datoteke uporabnikov z edinstvenim ključem in izsiljevala odkupnino v kriptovaluti DASH. Različica je bila distribuirana prek kompletov za izkoriščanje, kot sta RIG EK in GrandSoft EK. Izsiljevalska programska oprema se je prekopirala v»%appdata%Microsoft« mapo in vstavljen v sistemski proces nslookup.exe.

Vzpostavil je prvotno povezavo z pv4bot.whatismyipaddress.com da ugotovite javni IP okuženega računalnika, in nato zaženite nslookup postopek za povezavo z omrežjem gandcrab.bit a.dnspod.com uporabi “.bit” vrhnja domena.

Ta različica se je hitro razširila v kibernetskem prostoru, vendar je bilo njeno zmagoslavje konec februarja zaustavljeno: ustvarjen je bil dekriptor, ki je bil postavljen na splet, tako da je žrtvam omogočil dešifriranje svojih datotek, ne da bi storilcem plačali odkupnino.

GandCrab v2

Kibernetski kriminalci niso dolgo ostali pri odgovoru: v enem tednu je GandCrab različica 2 udarila med uporabnike. Imel je nov šifrirni algoritem, zaradi česar je dešifrator neuporaben. Šifrirane datoteke so imele pripono .CRAB in trdo kodirane domene spremenjene v ransomware.bit in zonealarm.bit. Ta različica je bila marca razširjena prek vsiljene e-pošte.

GandCrab v3

Naslednja različica se je pojavila aprila z novo možnostjo spreminjanja ozadij namizja žrtve v obvestilo o odkupnini. Nenehno preklapljanje med namizjem in pasico z odkupnino je bilo vsekakor namenjeno izvajanju večjega psihološkega pritiska na žrtve. Druga nova funkcija je bil registrski ključ za samodejni zagon RunOnce:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOncewhtsxydcvmtC:Documents and SettingsAdministratorApplication DataMicrosoftyrtbsc.exe

GandCrab v4

Nazadnje, nova, četrta različica Gandcrab v4 je prišla julija z vrsto pomembnih posodobitev, vključno z novim algoritmom šifriranja. Kot je odkril analitik Comodo, zlonamerna programska oprema zdaj uporablja algoritem drobnega šifriranja (TEA), da se izogne ​​odkrivanju – enega najhitrejših in učinkovitih kriptografskih algoritmov, ki sta ga razvila David Wheeler in Roger Needham na osnovi simetričnega šifriranja.

Poleg tega imajo vse šifrirane datoteke zdaj pripono .KRAB namesto CRAB.

Poleg tega so kiberkriminalci spremenili način širjenja izsiljevalske programske opreme. Zdaj se širi prek spletnih mest za zlorabe lažne programske opreme. Ko uporabnik prenese in zažene takšno »nadevno« razpoko, izsiljevalska programska oprema pade na računalnik.

Tukaj je primer take lažne programske razpoke. Crack_Merging_Image_to_PDF.exe, v resnici je GandCrab v4.

Poglejmo podrobneje, kaj se zgodi, če uporabnik zažene to datoteko.

Pod pokrovom

Kot je bilo omenjeno zgoraj, GandCrab izsiljevalska programska oprema uporablja močan in hiter šifrirni algoritem TEA, da se izogne ​​odkrivanju. Rutinska funkcija dešifriranja dobi navadno datoteko GandCrab.

Ko je dešifriranje končano, izvirna datoteka GandCrab v4 odpade in se zažene, s čimer se začne napad ubijanja.

Najprej izsiljevalska programska oprema preveri seznam naslednjih procesov z API-jem CreateToolhelp32Snapshot in prekine katerega koli od njih, ki se izvaja:

Nato izsiljevalska programska oprema preveri razporeditev tipkovnice. Če se izkaže, da je ruski, GandCrab takoj prekine izvedbo.

Postopek generiranja URL-ja

Pomembno je, da GandCrab uporablja poseben naključni algoritem za ustvarjanje URL-ja za vsakega gostitelja. Ta algoritem temelji na naslednjem vzorcu:

http://{host}/{value1}/{value2}/{filename}.{extension}

Zlonamerna programska oprema dosledno ustvarja vse elemente vzorca, kar povzroči edinstven URL.

V desnem stolpcu si lahko ogledate URL, ki ga je ustvarila zlonamerna programska oprema.

Zbiranje informacij

GandCrab zbira naslednje podatke iz okuženega stroja:

Nato preveri an antivirus teče ...

… in zbira informacije o sistemu. Po tem šifrira vse zbrane informacije z XOR in jih pošlje strežniku Command-and-Control. Pomembno je, da za šifriranje uporablja niz ključev »jopochlen«, ki je v ruščini nespodoben jezik. To je še en jasen znak ruskega izvora zlonamerne programske opreme.

Generacija ključev

Izsiljevalska programska oprema ustvari zasebne in javne ključe z uporabo Microsoftovega ponudnika šifriranja in naslednjih API-jev:

Pred začetkom postopka šifriranja zlonamerna programska oprema preveri, ali obstajajo nekatere datoteke ...

… in mape, da jih med šifriranjem preskočite:

Te datoteke in mape so potrebne za pravilno delovanje izsiljevalske programske opreme. Po tem začne GandCrab šifrirati datoteke žrtve.

Odkupnina

Odkupnina

Ko je šifriranje končano, GandCrab odpre datoteko KRAB-DECRYPT.txt, ki je sporočilo o odkupnini:

Če žrtev sledi navodilom storilcev in obišče njihovo spletno stran TOR, bo našla pasico z odkupnino s števcem:

Stran za plačilo vsebuje podrobna navodila za plačilo odkupnine.

Raziskovalna skupina Comodo za kibernetsko varnost je izsledila komunikacijske IP-je GandCrab. Spodaj je deset najboljših držav s tega seznama IP-jev.

GandCrab je dosegel uporabnike po vsem svetu. Tukaj je seznam desetih najbolj prizadetih držav z zlonamerno programsko opremo.

»Ta ugotovitev naših analitikov jasno kaže, da se zlonamerna programska oprema hitro spreminja in razvija v svoji hitrosti prilagajanja protiukrepom prodajalcev kibernetske varnosti,« komentira Fatih Orhan, vodja Comodo Threat Research Labs. »Očitno smo na robu časa, ko se vsi procesi na področju kibernetske varnosti intenzivno katalizirajo. Zlonamerna programska oprema hitro raste ne le v količini, ampak tudi v njeni sposobnosti takojšnjega posnemanja. noter Poročilo o grožnjah Comodo Cybersecurity za prvo četrtletje 2018, smo predvidevali, da je zmanjševanje števila izsiljevalskih programov le prerazporeditev sil in da se bomo v bližnji prihodnosti soočili s posodobljenimi in bolj zapletenimi vzorci. Pojav GandCrab jasno potrjuje in prikazuje ta trend. Tako bi moral biti trg kibernetske varnosti pripravljen na soočenje s prihajajočimi valovi napadov, polnjenih s povsem novimi vrstami izsiljevalske programske opreme.«

Živite varno s Comodo!

Sorodni viri:

PREIZKUSITE VARNOST E-POŠTE BREZPLAČNO SVOJO MESTO ZAGOTAVLJAJO Source: https://blog.comodo.com/comodo-news/gandcrab-the-new-version-of-ransomware/