انتقام نویسنده باج‌افزار GandCrab از ضدویروس آن‌لب

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

انتقام نویسنده باج‌افزار GandCrab از ضدویروس آن‌لب
q800

در حالی که در اواخر تیر ماه شرکت ضدویروس آن‌لب اقدام به انتشار ابزاری برای جلوگیری از رمزگذاری فایل‌ها توسط باج‌افزار GandCrab کرده بود، نویسنده این باج‌افزار مخرب در اقدامی تلافی‌جویانه، دو نسخه جدید GandCrab را مجهز به بهره‌جویی نموده که با سواستفاده از یک آسیب‌پذیری روز صفر، عملکرد این ضدویروس کره‌ای را دچار اختلال می‌کند.

ابزار آن‌لب با ایجاد فایلی بر روی دستگاه، GandCrab را متقاعد می‌کرد که دستگاه پیش‌تر به باج‌افزار آلوده شده و با این روش عملا از رمزگذاری فایل‌ها جلوگیری می‌کرد. نویسنده GandCrab در پیامی که به سایت BleepingComputer ارسال کرده گفته که ابزار آن‌لب را تنها در عرض چند ساعت بی‌مصرف کرده است.

در بخشی از کد نسخه‌های جدید GandCrab که از آسیب‌پذیری آن‌لب بهره‌جویی می‌کنند عبارت “سلام آن‌لب، نتیجه یک بر یک” (hey ahnlab, score – 1:1) به چشم می‌خورد.

آسیب‌پذیری مذکور ضعفی از نوع از کاراندازی سرویس (DoS) است که سواستفاده از آن منجر به غیرفعال شدن یکی از اجزای ضدویروس آن‌لب و حتی در برخی مواقع بروز خطای موسوم به صفحه آبی مرگ (BSOD) در سیستم عامل می‌شود.

آن‌لب هنوز اصلاحیه‌ای برای این آسیب‌پذیری عرضه نکرده است. هر چند که به گفته یکی از مدیران این شرکت پیش از آنکه باج‌افزار فرصت بهره‌جویی از آسیب‌پذیری را پیدا کند ضدویروس نسبت به فایل مخرب آن واکنش نشان می‌دهد.

این اقدام نویسنده GandCrab در حالی صورت می‌گیرد که در اواخر سال گذشته، شرکت ضدویروس بیت‌دیفندر نیز یک ابزار رمزگشایی برای برخی از نسخه‌های این باج‌افزار ارائه کرد. نویسنده GandCrab نه تنها این اقدام بیت‌دیفندر را تلافی نکرد که حتی با عبارت “good work” مهارت آنها را در رخنه به یکی از سرورهای فرماندهی این باج‌افزار و شناسایی کلیدهای رمزگشایی تحسین کرد!

لازم به ذکر است که آخرین نسخه از باج‌افزار GandCrab با نام‌های زیر شناسایی می‌شود:

Kaspersky:
– Trojan-Ransom.Win32.GandCrypt.j 20180130

ESET-NOD32:
– a variant of Win32/Kryptik.GCLI 20180130