Живучий шифровальщик-полиглот подстроился под новую уязвимость в Windows

Софт Безопасность Администратору Пользователю Интернет
мобильная версия
, Текст: Роман Георгиев

Выявлена новая версия шифровальщика-вымогателя GandCrab. Как и предыдущие, она использует сильные алгоритмы шифрования, так что против нее сработают только профилактические меры. GandCrabV5.0 требует до $2,4 тыс. в криптовалютах Bitcoin или DASH.


Пятый пошел

Эксперты по безопасности выявили новую, уже пятую по счету версию распространенного шифровальщика-вымогателя GandCrab. Отличия от предыдущих версий, на первый взгляд, лишь косметические, но уже стало известно, что вредонос использует свежую уязвимость в ОС Windows CVE-2018-8440 для заражения. При проникновение на компьютер жертвы вымогатель зашифрует все ценные файлы и потребует выкуп в размере от $800 до $2400 в криптовалюте DASH или Bitcoin.

Характерной внешней особенностью GandCrab V5.0 является добавление пятисимвольного расширения к каждому зашифрованному файлу. Кроме этого, шифровальщик генерирует в системе HTML-сообщения с требованием выкупа, чье название имеет формат *****-DECRYPT.html, где вместо звездочек — те самые пять символов расширения.

Сообщение от злоумышленников предлагает установить браузер TOR и зайти на специальный сайт для выплаты выкупа. На этом сайте можно произвести «пробную расшифровку» одного файла, чтобы убедиться в том, что ключ дешифрования существует и работает. Далее жертве предлагается заплатить средства. На выполнение требований преступников жертве дано не более трех суток.

Шифровальщик-полиглот и важные файлы

Сайт злоумышленников поддерживает сразу восемь языков — английский, немецкий, итальянский, французский, испанский, а также китайский, японский и корейский. Это вполне однозначно указывает на то, сколь обширны планы злоумышленников — в том числе, географические.

haker600_1.jpg
Пятая версия шифровальщика GandCrab использует новую уязвимость в Windows

Что касается «ценных файлов», то GandCrab 5 ищет и зашифровывает любые файлы, относящиеся к категориям аудио, видео, документы, изображения, резервные копии, архивы, банковские реквизиты. Еще одна проблема состоит в том, что вредонос активно ищет все доступные диски и хранилища в локальном сетевом окружении зараженного компьютера, и пытается зашифровать все данные и на них тоже.

Алгоритм шифрования, используемый GandCrab 5, не подразумевает возможности дешифрования без ключа, находящегося в распоряжении злоумышленников. Некоторые исследователи указывают, что сейчас GandCrab v5.0 использует алгоритм Salsa20, но полагают, что RSA-2048 и AES-256 также могут быть частью шифровального модуля нового GandCrab.

Прежние версии GandCrab использовали популярные наборы эксплойтов для заражения. Пятая версия, по-видимому, эксплуатирует CVE-2018-8440, недавно обнаруженную и исправленную всего пару недель назад уязвимость класса «повышения привилегий», позволяющую запускать в системе произвольный код.

Прицел на юристов и финансистов

В поле «Тема» большинства сообщений с шифровальщиком GandCrab во вложении будет присутствовать одна из нижеприведенных последовательностей: Document #{случайное число}, Invoice #{случайное число}, Order #{случайное число}, Payment #{случайное число}, Payment Invoice #{случайное число}, Payment Invoice #{случайное число}, Ticket #{случайное число}, Your Document #{случайное число}, Your Order #{случайное число}, Your Ticket #{случайное число}. По-видимому, в качестве главной цели злоумышленники выбрали юристов и бухгалтеров.

Методы противодействия

Что касается вектора распространения вредоноса, то он вполне традиционен — почтовые вложения, рассылаемые со спамом.

«Ключевой и, пожалуй, единственный действенный способ защищаться от шифровальщиков-вымогателей подобного рода — это регулярное резервирование данных на "холодных" носителях, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Учитывая, что GandCrab распространяется в качестве вложений в электронной почте и использует недавнюю уязвимость в Windows, необходимыми профилактическими мерами будет также установка обновлений операционной системы и осторожность в работе с email. Если вложения вызывают хотя бы минимальное подозрение, следует перепроверить их источник. Также может помочь антивирусное средство, оснащенное инструментами поведенческого анализа».