GandCrab勒索软件的V3版本已于本周早些时候发布,并且与之前的版本相比,已经有了一些明显的变化。最明显的变化是新增了替换桌面背景和自动运行的功能,导致即使受感染计算机重新启动,它也能够随之自行启动,从而在受感染计算机上建立持久性。

这个勒索软件最初出现在今年1月份,主要通过垃圾电子邮件、社交工程、漏洞利用包以及恶意广告传播,并迅速成为本年度最受欢迎的勒索软件之一。

使用顶级漏洞利用工具包RIG 选择达世币作为赎金

GandCrab的第一个版本最初是由安全研究员David Montenegro在今年1月份底发现的,很多研究人员随后对这个勒索软件进行了更深入的分析,并在Twitter上公布了他们的研究结果。

根据安全研究人员“nao_sec”和“Brad”的分析,GandCrab主要通过一种名为Seamless的恶意广告软件进行传播。攻击者使用了顶级漏洞利用工具包(Exploit Kit)RIG来寻找计算机系统中的软件漏洞,并在未经受害者许可的情况下安装GandCrab。

与其他勒索软件相比,GandCrab具备一些独有的特性。例如,大多数勒索软件通常都会选择比特币(BitCoin)作为赎金,但GandCrab却选择了达世币(DASH),这也使得它成为了首个接受达世币作为赎金的勒索软件。

通过RaaS平台在暗网热销 目标排除独立国家联合体

在今年2月初,网络安全公司LMNTRIX的安全研究人员发现GandCrab勒索软件正在通过勒索软件即服务(Ransomware-as-a-service,RaaS)平台进行出售,但要求购买者不得将位于独立国家联合体(阿塞拜疆、亚美尼亚、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦和乌克兰)的计算机用户作为攻击目标。

GandCrab的开发者在其广告宣传中表示,购买者可以利用两个漏洞利用工具包(RIG EK和GrandSoft EK)来分发GandCrab。此外,还他们还发布了一个视频教程,用于展示GandCrab如何能够绕过防病毒软件的检测。

一跃成为第三大流行勒索软件 引来国际执法机构调查

由于通过RaaS平台出售,这使得GandCrab勒索软件迅速流行起来,它被认为是2018年的最顶级勒索软件之一。

根据微软的统计数据,GandCrab一跃成为了今年第三大流行的勒索软件家族,受害者大部分集中在巴西、美国、印度、印度尼西亚和巴基斯坦。当然,正如GandCrab广告中提到的那样,其开发者使用了硬编码以避免感染位于独立国家联合体的计算机用户。

在今年3月份初,来自罗马尼亚的安全公司比特梵德(Bitdefender,简称BD)、罗马利亚警方以及欧洲刑警组织宣称获得了GandCrab勒索软件命令和控制(C&C)服务器的访问权,这使得他们能够恢复被GandCrab加密的文件。

比特梵德还为此发布了一个可用于恢复受害者文件的免费解密工具,旨在帮助受害者免费恢复数据,以破坏GandCrab开发者的商业模式,而罗马尼亚警方、罗马尼亚有组织犯罪和恐怖主义调查局(DIICOT)以及欧洲刑警组织(Europol)也在之后将这个工具通过在其网站上发布的声明进行了公布。

GandCrab开发者并未妥协 通过发布V2版本进行“反击”

专注于恶意软件研究的MalwareHunterTeam(恶意软件猎人小组)在3月5日通过Twitter表示,他们发现GandCrab V2已经发布,并且使得由比特梵德发布的免费解密工具不再有效。

另外,通过GandCrab V2使用的C&C服务器命名也能够看出GandCrab开发者的反击意图。其中一个主机被命名为“politiaromana.bit”,似乎是在挑衅协助从原始版本恢复解密密钥的罗马尼亚警方;另一台主机被命名为“malwarehunterteam.bit”,这显然是指曾参与原始版本分析的MalwareHunterTeam。

V2.1版本发布于4月中旬 开始使用Magnitude EK工具包

来自网络安全公司Malwarebytes的安全研究员Jérôme Segura在4月16日发现,一直被用于分发Magniber勒索软件的漏洞利用包Magnitude EK已经开始被用来分发GandCrab。

与V2一样,这个新的GandCrab版本仍采用.CRAB扩展名来进行加密。例如,原始文件名为test.jpg的文件在被加密后,其文件名会变更为test.jpg. CRAB。

两周之后再发布V3版本 新增替换桌面背景、自动运行功能

另一名来自Malwarebytes公司的安全研究员Marcelo Rivero通过Twitter表示,最新版本的GrandCrab勒索软件已经发布,软件内部版本号为V3.0.0。

在成功感染后,GrandCrab V3会对受感染计算机的桌面壁纸进行修改,替换为一个低分辨率的图片。告知受害者阅读名为“CRAB-DECRYPT.txt”的赎金票据,以便了解自己的文件究竟发生了什么。

不仅如此,一个RunOnce autorun键也被引入,这使得GrandCrab V3能够在受害者登录系统时自动启动。也就是说,即使受感染计算机被重新启动,GrandCrab V3也会随之自动运行,从在受感染计算机上实现持久性。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。