记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

勒索软件GandCrab结合加密服务,功能再升级

2018-10-16 18:45

为了进一步加强恶意软件的隐身功能,勒索软件GandCrab已与crypter服务合作。该恶意软件最近经历了一系列演变,自今年1月被发现以来,GandCrab背后的作者似乎在不断寻找增强恶意软件代码的方法。

GandCrab试图利用安全性较差的远程桌面应用程序,漏洞利用工具包,网络钓鱼,僵尸网络和PowerShell脚本来感染系统。该恶意软件通常作为一个软件包提供,并被许多人视为勒索软件即服务产品。GandCrab已经在全球范围内影响了数千名受害者。一旦系统被感染,GandCrab就会加密并锁定文件,并要求受害者支付几百到几千美元不等的赎金。

上个月,研究人员发现了通过Phorpiex蠕虫传播的GandCrab 第四代,该恶意软件可以通过USB驱动器、可移动存储和垃圾短信传播来感染企业网络。

9月27日,GandCrab开发者发布了与其早期版本相同的GandCrab第五代,这一版本的GandCrab主要利用PowerShell执行指令码,埋藏在记忆体内暗中运作。勒索软件GandCrab受到了安全研究人员和地下人士的广泛关注。开发者还制定了一个名为“会员俱乐部”的联盟计划。怀着通过大规模散布勒索软件轻松赚钱的想法,很多人等着排队加入该俱乐部。

赚钱的前景不仅吸引了新的黑客,而且使GandCrab与其他恶意软件加强和传播服务之间形成新的联盟。其中一个联盟在第4版中变得更加明显,GandCrab第四版开始通过新的Fallout漏洞利用工具包进行传播。GandCrab第5版公告中再次强调了这一联盟,GandCrab工作人员公开支持FalloutEK。

GandCrab 第5版公告

在第5版中,又形成了一个新的联盟。恶意软件加密服务NTCrypt宣布它正式与GandCrab开发者合作。crypter服务为恶意软件提供混淆以逃避反恶意软件安全产品。

NTCrypt宣布与GandCrab合作,且为GandCrab用户提供优惠

GandCrab 与NTCrypt建立合作关系的方式与众不同。9月底,为了寻找新的加密服务合作伙伴,GandCrab开发者在一个著名的地下论坛发起了一场比赛。最终,NTCrypt赢得了这场比赛。

比赛公告

这一全新的方式再一次证明了GandCrab在地下论坛上的地位。对像GandCrab这样的犯罪集团来说,建立这样的联盟意义非凡:它们增加了操作的便利性,并且可靠的联盟网络允许他们避免不太信任的供应商和分销商,从而最大限度地降低风险。

对于安全社区而言,令人担忧的是,GandCrab的营销策略似乎取得了成功。它正在产生大量的犯罪利益,并让GandCrab工作人员与网络犯罪供应链中的其他基本服务结成联盟。

GandCrab的前世今生

GandCrab初代

今年年初国外网络安全专家发现了一种新型的勒索病毒,在虚拟货币盛行的今天,网络勒索病毒层出不穷,GandCrab在众多病毒中“脱颖而出”引起各界关注。有趣的是,这种病毒之所以引人注目有很大一部分原因是因为它的赎金。不同于其他勒索病毒提出的比特币、门罗币等赎金要求,GandCrab非常有个性地要求受害者以达世币作为赎金来解救已被加密的文件。

初代的Gandcrab以挂马病毒的方式隐藏在网页中,用户点击后就有可能中招。Gandcrab加密电脑中的文件后会在文件名后加上.GDCB后缀,并向受害者索要1.54达世币作为赎金(病毒爆发时约为1200美刀)。

GandCrab 病毒二代目

在第一代GandCrab病毒爆发被解决后不久,国内又爆发了第二次GandCrab V2.0病毒。这次它的伪装手段从挂马变成了字体更新程序。想象一下,当你打开一个邮件或是一个网页的时候,发现所有的文字都是乱码,这时候,一个窗口提醒你下载字体更新程序,你会不会毫不犹豫就下载了?甚至会以为安全软件弹出的警告是误报?如果是,那么恭喜你要中招了。很多无辜的人都上了病毒制造者的当,成了病毒的祭品。

病毒二代目除了伪装手段不同还改变了被锁文件的后缀。中了GandCrab V2.0病毒后用户的文件会被加上.CRAB的后缀。这次的病毒仍然向受害者索要达世币作为赎金,如果不想被病毒制造者吸血的话,最靠谱的办法还是提前安装安全软件,并且相信安全软件的安全提醒。

GandCrab V2.1 病毒三代目

消停了没多久,GandCrab就又变着法的卷土重来了。今年四月国外安全研究人员再次发现了GandCrab勒索病毒的最新变种,并且命名其为GandCrab V2.1。

研究人员发现此次的病毒变种利用了RSA1024加密算法,将系统中的大部分文档文件加密为.GRAB后缀的文件,然后对用户进行勒索。这个再次变种后的勒索病毒主要通过邮件、漏洞、垃圾网站挂马等方式进行传播,但好在其不具备横向感染的能力,不会对同一个局域网内的其他设备进行攻击。

可能是GanCrab的病毒制造者发现只通过达世币这种相对小众的币种不足以赚到足够多的钱,这次的勒索病毒开始接受比特币和达世币作为赎金。

GandCrab V3病毒四代目

一波未平一波又起,终于,五月这个病毒又来了。虽然名字叫GandCrab V3,但这已经是GandCrab病毒的第四次变种了。经历了前三次后病毒制造者这次选择利用CVE-2017-8570漏洞来传播病毒。同时,GandCrab V3跟上了“韩流”,漏洞触发后会显示“안녕하세요”(韩语“你好”)的文字内容来诱导受害者。

这次的病毒学得更聪明了,不仅没有规定受害者交赎金的币种,还要求受害者通过Tor网络或者Jabber即时通讯软件与其取得联系,进而沟通勒索条件。这种方法加大了受害者交赎金的几率也加大了追查的难度。

由于可能获得高回报,勒索软件在网络犯罪分子之间非常受欢迎,而且许多受害者都会支付赎金来解密文件。

SamSam勒索软件的开发者每月收入30万美元,Cerber开发者通过此类恶意软件仅在一个月内就赚取了大约195,000美元。

俗话说坏人不可怕,就怕坏人有文化,如今威胁最大的是病毒制造者有了商业头脑。国内已经出现了勒索病毒的产业链,有人开始在网络上传播勒索病毒生成器。只要这种特殊形式的恶意软件有能力使其开发者获利,我们就会看到越来越多的网络犯罪分子将新形式的勒索软件带入市场。

知识来源: www.mottoin.com/tech/117453.html

阅读:91630 | 评论:0 | 标签:技术控 加密

想收藏或者和大家分享这篇好文章→复制链接地址

“勒索软件GandCrab结合加密服务,功能再升级”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云