Пятый пошел
Эксперты по безопасности выявили новую, уже пятую по счетуверсию распространенного шифровальщика-вымогателя GandCrab. Отличия отпредыдущих версий, на первый взгляд, лишь косметические, но уже стало известно,что вредонос использует свежую уязвимость в ОС Windows CVE-2018-8440 длязаражения. При проникновение на компьютер жертвы вымогатель зашифрует всеценные файлы и потребует выкуп в размере от $800 до $2400 в криптовалюте DASHили Bitcoin.
Характерной внешней особенностью GandCrab V5.0 являетсядобавление пятисимвольного расширения к каждому зашифрованному файлу. Кромеэтого, шифровальщик генерирует в системе HTML-сообщения с требованием выкупа,чье название имеет формат *****-DECRYPT.html, где вместо звездочек — те самыепять символов расширения.
Сообщение от злоумышленников предлагает установить браузерTOR и зайти на специальный сайт для выплаты выкупа. На этом сайте можнопроизвести «пробную расшифровку» одного файла, чтобы убедиться в том, что ключдешифрования существует и работает. Далее жертве предлагается заплатить средства.На выполнение требований преступников жертве дано не более трех суток.
Шифровальщик-полиглоти важные файлы
Сайт злоумышленников поддерживает сразу восемь языков —английский, немецкий, итальянский, французский, испанский, а также китайский,японский и корейский. Это вполне однозначно указывает на то, сколь обширны планызлоумышленников — в том числе, географические.
Что касается «ценных файлов», то GandCrab 5 ищет изашифровывает любые файлы, относящиеся к категориям аудио, видео, документы, изображения,резервные копии, архивы, банковские реквизиты. Еще одна проблема состоит в том, что вредонос активно ищетвсе доступные диски и хранилища в локальном сетевом окружении зараженногокомпьютера, и пытается зашифровать все данные и на них тоже.
Алгоритм шифрования, используемый GandCrab 5, неподразумевает возможности дешифрования без ключа, находящегося в распоряжениизлоумышленников. Некоторые исследователи указывают, что сейчас GandCrab v5.0использует алгоритм Salsa20, но полагают, что RSA-2048 и AES-256 также могутбыть частью шифровального модуля нового GandCrab.
Прежние версии GandCrab использовали популярные наборыэксплойтов для заражения. Пятая версия, по-видимому, эксплуатируетCVE-2018-8440, недавно обнаруженную и исправленную всего пару недель назадуязвимость класса «повышения привилегий», позволяющую запускать в системепроизвольный код.
Прицел на юристов ифинансистов
В поле «Тема» большинства сообщений с шифровальщикомGandCrab во вложении будет присутствовать одна из нижеприведенныхпоследовательностей: Document #{случайное число}, Invoice #{случайное число},Order #{случайное число}, Payment #{случайное число}, Payment Invoice#{случайное число}, Payment Invoice #{случайное число}, Ticket #{случайноечисло}, Your Document #{случайное число}, Your Order #{случайное число}, YourTicket #{случайное число}. По-видимому, в качестве главной цели злоумышленники выбралиюристов и бухгалтеров.
Методыпротиводействия
Что касается вектора распространения вредоноса, то он вполнетрадиционен — почтовые вложения, рассылаемые со спамом.
«Ключевой и, пожалуй, единственный действенный способзащищаться от шифровальщиков-вымогателей подобного рода — это регулярноерезервирование данных на «холодных» носителях, — считает Олег Галушкин, директор по информационнойбезопасности компании SEC Consult Services. — Учитывая, что GandCrabраспространяется в качестве вложений в электронной почте и использует недавнююуязвимость в Windows, необходимыми профилактическими мерами будет такжеустановка обновлений операционной системы и осторожность в работе с email. Есливложения вызывают хотя бы минимальное подозрение, следует перепроверить ихисточник. Также может помочь антивирусное средство, оснащенное инструментамиповеденческого анализа».