记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

揭秘GandCrab勒索软件新变种:新增了自动运行功能和桌面背景

2018-05-13 12:20

GandCrab V3勒索软件已于本周早些时候发布,并且与之前的版本相比有了一些明显的变化。其中,最明显的变化是新增了桌面背景和自动运行功能,致使即便受感染的计算机重新启动,该勒索软件也能自动启动运行。而且不幸的是,这一次GandCrab V3是无法免费解密的。

通过漏洞利用工具包和垃圾邮件分发

Malwarebytes公司恶意软件分析师Marcelo Rivero于上周一发现了该GandCrab V3勒索软件,另一名Malwarebytes恶意软件分析师Jérôme Segura发现,该变种是通过Magnitude漏洞利用工具包分发的。

DcDWq0hU0AUMQVo[1].jpg

此外,Fortinet公司研究人员也发现了通过垃圾邮件系列分发的GandCrab V3勒索软件。这些垃圾邮件包含类似“Order #65121”的主题,还包含用于安装GandCrab v3的VBS下载器附件。

image_1783415135_img[1].png

GandCrab变种之路以及v3中的变化

2018年1月底,一种名为“GandCrab”的新型勒索病毒横空出世,它通过使用顶级漏洞利用工具包RIG EK进行传播。而且GandCrab还具有一些以前没有见过的有趣的特性,比如它是第一个接受达世币(DASH)、第一个使用Namecoin域名的勒索病毒。

据网络安全公司LMNTRIX介绍称,GandCrab的开发人员在俄罗斯黑客社区将其宣传为RaaS(Ransomware-as-a-service,勒索软件即服务)产品以进行出售,这使得GandCrab迅速地流行了起来,并一跃成为了今年第三大流行的勒索软件家族。

但是就在GandCrab勒索软件肆虐不久后,罗马尼亚的安全公司Bitdefender发布了一个免费的解密工具,用以帮助遭到勒索软件GandCrab感染的受害者恢复文件,进而无需支付赎金。

不过,GandCrab开发者并未轻易妥协,并在不久后又发布了GandCrab V2版本。与原始版本相比,V2版仍然延续了RSA加密并通过网络回传key的方式以及不连通C&C则不加密的特点,同时增强了代码的加密与混淆,使自身更加安全,并更换了加密后缀为.CRAB,增加了扫描二维码获取付款地址的功能。 

上周,研究人员发现,GandCrab开发人员再次发布了GandCrab V3版本,与此前的版本相比,这一版本的GandCrab 发生了一些明显的变化。其中最显著的变化包括:版本号增加到了3,引用了新的赎金通知,替换了桌面背景以及能够在受损设备重新启动时自动运行的功能。

只是,与版本2相比,不变的是,该新版本的赎金通知仍然名为“CRAB-DECRYPT.txt”,并且加密文件后缀仍为.CRAB。

在这个新版本中,GandCrab还会对受感染计算机的桌面壁纸进行修改,将其替换为一个低分辨率的图片,以告知受害者阅读名为“CRAB-DECRYPT.txt”的赎金通知,以便了解自己的文件究竟发生了什么。具体背景如下所示:

desktop-background.jpg

该勒索软件还更换了新的赎金通知文本,具体如下所示:

ransom-note.jpg

除此之外,该新版本还引入了一个RunOnce自动运行键,这将使得GrandCrab V3能够在受害者登录系统时自动启动。也就是说,GandCrab一旦安装完成,就会对受害者设备进行加密,替换其桌面背景,然后自动重启计算机。

最后,该版本还引入了域名“carder.bit”作为勒索软件与之通信的服务器。.bit不是由ICANN(互联网名称与数字地址分配机构)认可的顶级域名,而是由去中心化域名系统NameCoin管理,这使得执法人员无法追踪到域名的所有人,也无法关停这些域名。

其实,GandCrab开发者在命名相关域名时还是带有幽默感的,他们会选择安全公司、以及像bleepingcomputer这样的网站,或是研究人员来命名其域名,例如在GandCrab初始版本中就包含类似bleepingcomputer.bit、nomoreransom.bit、esetnod32.bit、emsisoft.bit以及gandcrab.bit之类的域名。这一次“carder.bit”的域名可能指向那些信用卡欺诈者。

无法免费解密

最后再强调一遍,很不幸,这一次发布的版本不能免费解密,至于之后是否能有研究人员研究出破解该勒索软件版本的解密软件,我们会进行跟踪报道,敬请关注。

本文翻译自:https://www.bleepingcomputer.com/news/security/gandcrab-version-3-released-with-autorun-feature-and-desktop-background/如若转载,请注明原文地址: http://www.hackdig.com/05/hack-51926.htm

知识来源: www.4hou.com/typ/11352.html

阅读:88482 | 评论:0 | 标签:勒索软件 GandCrab勒索软件

想收藏或者和大家分享这篇好文章→复制链接地址

“揭秘GandCrab勒索软件新变种:新增了自动运行功能和桌面背景”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云