Спецпроекты

Живучий шифровальщик-полиглот подстроился под новую уязвимость в Windows

2115
ПО Безопасность Администратору Пользователю Интернет

Выявлена новая версия шифровальщика-вымогателя GandCrab. Как и предыдущие, она использует сильные алгоритмы шифрования, так что против нее сработают только профилактические меры. GandCrabV5.0 требует до $2,4 тыс. в криптовалютах Bitcoin или DASH.

Пятый пошел

Эксперты по безопасности выявили новую, уже пятую по счету версию распространенного шифровальщика-вымогателя GandCrab. Отличия от предыдущих версий, на первый взгляд, лишь косметические, но уже стало известно, что вредонос использует свежую уязвимость в ОС Windows CVE-2018-8440 для заражения. При проникновение на компьютер жертвы вымогатель зашифрует все ценные файлы и потребует выкуп в размере от $800 до $2400 в криптовалюте DASH или Bitcoin.

Характерной внешней особенностью GandCrab V5.0 является добавление пятисимвольного расширения к каждому зашифрованному файлу. Кроме этого, шифровальщик генерирует в системе HTML-сообщения с требованием выкупа, чье название имеет формат *****-DECRYPT.html, где вместо звездочек — те самые пять символов расширения.

Сообщение от злоумышленников предлагает установить браузер TOR и зайти на специальный сайт для выплаты выкупа. На этом сайте можно произвести «пробную расшифровку» одного файла, чтобы убедиться в том, что ключ дешифрования существует и работает. Далее жертве предлагается заплатить средства. На выполнение требований преступников жертве дано не более трех суток.

Шифровальщик-полиглот и важные файлы

Сайт злоумышленников поддерживает сразу восемь языков — английский, немецкий, итальянский, французский, испанский, а также китайский, японский и корейский. Это вполне однозначно указывает на то, сколь обширны планы злоумышленников — в том числе, географические.

haker600_1.jpg
Пятая версия шифровальщика GandCrab использует новую уязвимость в Windows

Что касается «ценных файлов», то GandCrab 5 ищет и зашифровывает любые файлы, относящиеся к категориям аудио, видео, документы, изображения, резервные копии, архивы, банковские реквизиты. Еще одна проблема состоит в том, что вредонос активно ищет все доступные диски и хранилища в локальном сетевом окружении зараженного компьютера, и пытается зашифровать все данные и на них тоже.

Алгоритм шифрования, используемый GandCrab 5, не подразумевает возможности дешифрования без ключа, находящегося в распоряжении злоумышленников. Некоторые исследователи указывают, что сейчас GandCrab v5.0 использует алгоритм Salsa20, но полагают, что RSA-2048 и AES-256 также могут быть частью шифровального модуля нового GandCrab.

Прежние версии GandCrab использовали популярные наборы эксплойтов для заражения. Пятая версия, по-видимому, эксплуатирует CVE-2018-8440, недавно обнаруженную и исправленную всего пару недель назад уязвимость класса «повышения привилегий», позволяющую запускать в системе произвольный код.

Прицел на юристов и финансистов

В поле «Тема» большинства сообщений с шифровальщиком GandCrab во вложении будет присутствовать одна из нижеприведенных последовательностей: Document #{случайное число}, Invoice #{случайное число}, Order #{случайное число}, Payment #{случайное число}, Payment Invoice #{случайное число}, Payment Invoice #{случайное число}, Ticket #{случайное число}, Your Document #{случайное число}, Your Order #{случайное число}, Your Ticket #{случайное число}. По-видимому, в качестве главной цели злоумышленники выбрали юристов и бухгалтеров.

Методы противодействия

Что касается вектора распространения вредоноса, то он вполне традиционен — почтовые вложения, рассылаемые со спамом.

«Ключевой и, пожалуй, единственный действенный способ защищаться от шифровальщиков-вымогателей подобного рода — это регулярное резервирование данных на "холодных" носителях, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Учитывая, что GandCrab распространяется в качестве вложений в электронной почте и использует недавнюю уязвимость в Windows, необходимыми профилактическими мерами будет также установка обновлений операционной системы и осторожность в работе с email. Если вложения вызывают хотя бы минимальное подозрение, следует перепроверить их источник. Также может помочь антивирусное средство, оснащенное инструментами поведенческого анализа».



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Тема месяца

Обзор: Мобильность в бизнесе 2019

Рейтинг CNews Mobile

Крупнейшие разработчики мобильных приложений