GandCrab 勒索用“特许经营”和“敏捷开发”模式快速演变

2月份,一种名为“GandCrab”的新型勒索病毒被发现,它通过漏洞利用工具包传播。GandCrab有一些以前没有见过的有趣的特性,比如它是第一个接受达世币(DASH)、第一个使用Namecoin域名的勒索病毒。

GandCrab是一个源自俄罗斯(此款勒索软件被设定为不得用于感染独联体国家的系统)、主要针对英语国家、活跃在暗网的勒索软件。GandCrab通过电子邮件垃圾、RIG 和GrandSoft exploit kits传播,目前已经感染了5万多名受害者, 勒索了约30万美元至60万美元的赎金,超过70% 的受害者在美国和英国。

GandCrab特色是"特许经营"传播模式:GandCrab 联盟计划支付的参与者,可获取60% 至70% 的赎金收入。目前已有80个活跃的组织参与,其中最大的一个在过去的一个月内已经发布了700多个不同的恶意软件样本。

GandCrab的工作流程:

收集有关受害者机器的信息

终止可能阻止文件写入访问的进程

生成公钥/私钥对

向其 c & c 服务器发送初始 HTTP 请求

对于系统上的每个文件: 生成一个随机 AES-256 key;使用它来加密文件;

向 c & c 服务器发送确认消息

删除 Windows 影子文件备份

国内也出现了该勒索软件,某人访问大学校友会网站,没想到栽在母校的手上,中招了… …

后果就是电脑桌面瞬间被绿色的变色龙占领了(除了那个垃圾桶)

福音是:近期Check Point曝光了GandCrab勒索软件已经可以通过一个自由解密工具破解了。

在罗马尼亚警方针对GandCrab的联合行动结束后,Bitdefender 和欧洲刑警组织根据收集分析结果,制造了一个工具, 允许受害者免费解密其文件。

解密工具利用了勒索代码中的一个基本缺陷:它允许访问主服务器, 从而恢复恶意软件中使用的所有加密密钥。这相当于有人把你锁在家里, 但在门垫下留下一把备用钥匙。有了这个, 它看起来像 GandCrab的' 游戏结束 '了。

但事实并非如此: GandCrab 背后开发人员迅速修复了通用解码器的关键加密缺陷,升级到了GandCrab 2 ,进行反击。

GandCrab开发团队似乎使用了一个敏捷开发过程,能够高效的应对此类反勒索技术… …

参考:

https://www.infosecurity-magazine.com/news/gandcrab-ransomware-finds-a-new/

https://research.checkpoint.com/gandcrab-ransomware-mindset/

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180317B17SU200?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励