在上周末,GandCrab勒索软件的开发者再一次推出了他们的最新版本——GandCrab V4。与之前的版本相比,新的版本出现了许多变化:不同的加密算法、不同的文件扩展名(.KRAB)、不同的赎金票据名称(KRAB-DECRYPT.txt)以及不同的TOR支付网站(gandcrabmfe6mnef[.]onion)。

根据一名推特用户名为Fly的恶意软件分析师的说法,这个最新版本的GandCrab勒索软件正在通过虚假的破解软件下载网站传播。恶意行为者通过入侵某些合法网站,并建立自己的虚假博客,然后提供破解软件下载。当不知情的受害者下载并执行了这些软件时,GandCrab V4就会在他们的计算机上安装。

另据Malwarebytes公司的安全研究员Marcelo Rivero提供的他对GandCrab v4的调试结果来看,这个勒索软件似乎已经将其加密算法切换为了Salsa20。

执行GandCrab V4时,它将扫描整个计算机和任何网络共享以寻找能够被加密的目标文件。扫描网络共享时,它将枚举网络上的所有共享,而不仅仅是映射驱动器。

当找到目标文件时,它将对其进行加密,然后在原文件名的后面附加.KRAB扩展名。例如,在名为test.doc的文件被加密后,其文件名将被重命名为test.doc.KRAB。

在加密文件时,它还会创建一个名为KRAB-DECRYPT.txt的赎金票据,其中包含都有哪些文件遭到加密、如何安装Tor浏览器并连接到赎金支付网站以及其他一些注意事项等信息。

如果受害者访问这个TOR支付网站,他们将看到赎金的金额以及如何支付以获得GandCrab  V4解密器的说明。

目前的赎金金额被设定为4.73971088达世币(DASH),约等值于1200美元。

为了使受害者相信解密器真实有效,TOR支付网站还包含了一个实施聊天功能,并提示受害者可以向恶意行为者发送消息以免费解密一个文件。

这个于今年1月份才出现的勒索软件在短短几个月里已经发布了多个不同的版本,并且成为第一个接受达世币作为赎金支付的勒索软件。再加上从今年2月份开始,被网络安全公司LMNTRIX的安全研究人员发现作为勒索软件即服务在暗网提供,使得它迅速流行起来,同时也被认为是迄今为止最顶级的勒索软件之一。

尽管在引起一些网络安全公司,甚至是执法机构的注意后,该勒索软件依然活跃。并自今年4月份以来,开始利用漏洞利用工具包进行传播。GandCrab v4的发布证明,该勒索软件的开发者不仅没有退出“战场”的打算,而且还在持续不断地引入新的技术,以使这款恶意软件更具破坏力。

声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。