کشف نسخه پنجم باج‌افزار GandCrab

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

کشف نسخه پنجم باج‌افزار GandCrab
q964
نسخه جدیدی از باج‌افزار GandCrab کشف شده است که مشابه نسخه‌های قبلی از طریق کیت‌های اکسپلویت توزیع نمی‌شود. در حال حاضر روش توزیع GandCrab v۵ نامشخص است. در این نسخه فایل‌های آلوده پس از رمز شدن، پسوندی حاوی ۵ کاراکتر تصادفی به آنها اضافه می‌شود و یک پیام باج بصورت فایل HTML ایجاد می‌شود.
باج‌افزار GandCrab باج‌افزار گسترده‌ای است و در حال حاضر در حال توسعه مداوم است و به آن ویژگی‌های جدیدی اضافه می‌شود تا کشورهای مختلفی را مورد هدف قرار دهد.
باج‌افزار از آسیب‌پذیری ALPC در ویژگی زمان‌بندی فعالیت ویندوز سوء استفاده می‌کند تا دسترسی خود را بالا ببرد. این آسیب‌پذیری در وصله‌های ماه سپتامبر توسط مایکروسافت برطرف شده است اما همچنان رایانه‌هایی بدلیل عدم اعمال وصله نسبت به آن آسیب‌پذیر هستند.
۵ کاراکتری که به عنوان پسوند به فایل آلوده اضافه می‌شود به ازای هر رایانه آلوده متفاوت است و این کاراکترها بصورت تصادفی انتخاب می‌شوند. برای مثال در آزمایشی که پژوهشگران انجام دادند، فایل test.doc به test.doc.lntps تبدیل شده است.
q965
پس از رمزگذاری فایل‌ها، یک فایل HTML ایجاد می‌شود که حاوی متن باج‌خواهی، فایل‌ها، اسناد و تصاویر رمز شده است و از قربانی برای بازیابی فایل‌ها درخواست پرداخت مبلغی را ارائه می‌کند. همچنین، دستورالعملی در مورد نحوه پرداخت از طریق سایت پرداخت TOR (hxxp://gandcrabmfe۶mnef[.]onion) نیز در آن درج شده است.

q966

مبلغ باج ۱۲۰۰ دلار تعیین شده است که بصورت ارزهای دیجیتال بیت‌کوین یا دش‌کوین دریافت می‌شود. مهاجم به کاربر اجازه می‌دهد تا برای نمونه یک فایل را بصورت رایگان بازیابی کند.
منبع:


/https://gbhackers.com/new-version-of-gandcrab-ransomware
/https://www.bleepingcomputer.com/news/security/gandcrab-v۵-ransomware-utilizing-the-alpc-task-scheduler-exploit


منبع: مرکز مدیریت راهبردی افتا ریاست جمهوری