GrandCrab Ransomware v4.1.2. Malwarebytes Lab
GrandCrab Ransomware sevi instalē resursdatoru sistēmās, izmantojot slēptas lejupielādes tiešsaistē, visbiežāk PDF kvīšu veidā, un šifrē lietotāja vietējos datus, izpildot .gdcb un .crab failus. Šī izpirkuma programmatūra ir visizplatītākā šāda veida ļaunprātīga programmatūra, un tā izmanto Magnitude Exploit Kit, lai izplatītos savā upurī. Nesen tika atklāta GrandCrab Ransomware jaunākā versija 4.1.2 versija, un pirms tās uzbrukumi uzņem apgriezienus, Dienvidkorejas kiberdrošības uzņēmums, AhnLab , ir atkārtojis heksadecimālo virkni, kuru uz kompromitētām sistēmām izpilda GrandCrab ransomware 4.1.2, un uzņēmums ir formulējis, ka tā pastāv nekaitīgās sistēmās nekaitīgi tā, ka tad, kad izpirkumprogrammatūra nonāk sistēmā un izpilda virkni, lai to šifrētu, tā ir maldināts, domādams, ka dators jau ir šifrēts un apdraudēts (domājams, jau ir inficēts), un tāpēc izpirkumprogrammatūra atkārtoti neizpilda to pašu šifrēšanu, kas dubultā šifrētu un pilnībā iznīcinātu failus.
AhnLab formulētā heksadecimālā virkne izveido unikālus heksadecimālos ID savām resursdatora sistēmām, pamatojoties uz pašas resursdatora detaļām un Salsa20 algoritmu, kas tiek izmantots kopā. Salsa20 ir strukturēts straumes simetrisks šifrs ar 32 baitu atslēgas garumu. Ir novērots, ka šis algoritms ir veiksmīgs pret daudziem uzbrukumiem, un reti ir apdraudējis resursdatora ierīces, pakļaujoties ļaunprātīgiem hakeriem. Šifru izstrādāja Daniels J. Bernsteins un iesniedza eStream attīstības mērķiem. Tagad tas tiek izmantots AhnLab GrandCrab Ransomware v4.1.2 cīņas mehānismā.
Formulētais lietojumprogramma GC v4.1.2 novēršanai saglabā tā [hexadecimal-string] .lock failu dažādās vietās, pamatojoties uz resursdatora Windows operētājsistēmu. Operētājsistēmā Windows XP lietojumprogramma tiek saglabāta mapē C: Documents and Settings All Users Application Data. Jaunākās Windows, Windows 7, 8 un 10 versijās lietojumprogramma tiek saglabāta C: ProgramData. Paredzams, ka šajā posmā lietojumprogramma tikai veiksmīgi apmānīs GrandCrab Ransomware v4.1.2. Tas vēl nav ticis pārbaudīts pret vecākajām ransomware versijām, taču daudziem ir aizdomas, ka, ja faili no jaunākas lietojumprogrammas tiek saskaņoti ar vecākiem ransomware kaujas kodiem, tos var paaugstināt līdz paroportam, izmantojot backporting, un tos var padarīt efektīvus uzbruktos. no vecākajām ransomware versijām. Lai novērtētu draudus, ko rada šī izpirkuma programmatūra, Fortinet ir publicējis pamatīgu informāciju izpēte šajā jautājumā un lai pasargātu no draudiem, AhnLab ir padarījis savu lietojumprogrammu pieejamu bezmaksas lejupielādei, izmantojot šādas saites: 1. saite & 2. saite .
