2月份,一种名为“GandCrab”的新型勒索病毒被发现,它通过漏洞利用工具包传播。GandCrab有一些以前没有见过的有趣的特性,比如它是第一个接受达世币(DASH)、第一个使用Namecoin域名的勒索病毒。
GandCrab是一个源自俄罗斯(此款勒索软件被设定为不得用于感染独联体国家的系统)、主要针对英语国家、活跃在暗网的勒索软件。GandCrab通过电子邮件垃圾、RIG 和GrandSoft exploit kits传播,目前已经感染了5万多名受害者, 勒索了约30万美元至60万美元的赎金,超过70% 的受害者在美国和英国。
GandCrab特色是"特许经营"传播模式:GandCrab 联盟计划支付的参与者,可获取60% 至70% 的赎金收入。目前已有80个活跃的组织参与,其中最大的一个在过去的一个月内已经发布了700多个不同的恶意软件样本。
GandCrab的工作流程:
收集有关受害者机器的信息
终止可能阻止文件写入访问的进程
生成公钥/私钥对
向其 c & c 服务器发送初始 HTTP 请求
对于系统上的每个文件: 生成一个随机 AES-256 key;使用它来加密文件;
向 c & c 服务器发送确认消息
删除 Windows 影子文件备份
国内也出现了该勒索软件,某人访问大学校友会网站,没想到栽在母校的手上,中招了… …
后果就是电脑桌面瞬间被绿色的变色龙占领了(除了那个垃圾桶)
福音是:近期Check Point曝光了GandCrab勒索软件已经可以通过一个自由解密工具破解了。
在罗马尼亚警方针对GandCrab的联合行动结束后,Bitdefender 和欧洲刑警组织根据收集分析结果,制造了一个工具, 允许受害者免费解密其文件。
解密工具利用了勒索代码中的一个基本缺陷:它允许访问主服务器, 从而恢复恶意软件中使用的所有加密密钥。这相当于有人把你锁在家里, 但在门垫下留下一把备用钥匙。有了这个, 它看起来像 GandCrab的' 游戏结束 '了。
但事实并非如此: GandCrab 背后开发人员迅速修复了通用解码器的关键加密缺陷,升级到了GandCrab 2 ,进行反击。
GandCrab开发团队似乎使用了一个敏捷开发过程,能够高效的应对此类反勒索技术… …
参考:
https://www.infosecurity-magazine.com/news/gandcrab-ransomware-finds-a-new/
https://research.checkpoint.com/gandcrab-ransomware-mindset/
领取专属 10元无门槛券
私享最新 技术干货