Живучий шифровальщик-полиглот подстроился под новую уязвимость в Windows

Пятый пошел Эксперты по безопасности выявили новую, уже пятую по счетуверсию распространенного шифровальщика-вымогателя GandCrab. Отличия отпредыдущих версий, на первый взгляд, лишь косметические, но уже стало известно,что вредонос использует свежую уязвимость в ОС Windows CVE-2018-8440 длязаражения. При проникновение на компьютер жертвы вымогатель зашифрует всеценные файлы и потребует выкуп в размере от $800 до $2400 в криптовалюте DASHили Bitcoin. Характерной внешней особенностью GandCrab V5.0 являетсядобавление пятисимвольного расширения к каждому зашифрованному файлу. Кромеэтого, шифровальщик генерирует в системе HTML-сообщения с требованием выкупа,чье название имеет формат *****-DECRYPT.html, где вместо звездочек — те самыепять символов расширения. Сообщение от злоумышленников предлагает установить браузерTOR и зайти на специальный сайт для выплаты выкупа. На этом сайте можнопроизвести «пробную расшифровку» одного файла, чтобы убедиться в том, что ключдешифрования существует и работает. Далее жертве предлагается заплатить средства.На выполнение требований преступников жертве дано не более трех суток. Шифровальщик-полиглоти важные файлы Сайт злоумышленников поддерживает сразу восемь языков —английский, немецкий, итальянский, французский, испанский, а также китайский,японский и корейский. Это вполне однозначно указывает на то, сколь обширны планызлоумышленников — в том числе, географические. Пятая версия шифровальщика GandCrab использует новую уязвимость в Windows Что касается «ценных файлов», то GandCrab 5 ищет изашифровывает любые файлы, относящиеся к категориям аудио, видео, документы, изображения,резервные копии, архивы, банковские реквизиты. Еще одна проблема состоит в том, что вредонос активно ищетвсе доступные диски и хранилища в локальном сетевом окружении зараженногокомпьютера, и пытается зашифровать все данные и на них тоже. Алгоритм шифрования, используемый GandCrab 5, неподразумевает возможности дешифрования без ключа, находящегося в распоряжениизлоумышленников. Некоторые исследователи указывают, что сейчас GandCrab v5.0использует алгоритм Salsa20, но полагают, что RSA-2048 и AES-256 также могутбыть частью шифровального модуля нового GandCrab. Прежние версии GandCrab использовали популярные наборыэксплойтов для заражения. Пятая версия, по-видимому, эксплуатируетCVE-2018-8440, недавно обнаруженную и исправленную всего пару недель назадуязвимость класса «повышения привилегий», позволяющую запускать в системепроизвольный код. Прицел на юристов ифинансистов В поле «Тема» большинства сообщений с шифровальщикомGandCrab во вложении будет присутствовать одна из нижеприведенныхпоследовательностей: Document #{случайное число}, Invoice #{случайное число},Order #{случайное число}, Payment #{случайное число}, Payment Invoice#{случайное число}, Payment Invoice #{случайное число}, Ticket #{случайноечисло}, Your Document #{случайное число}, Your Order #{случайное число}, YourTicket #{случайное число}. По-видимому, в качестве главной цели злоумышленники выбралиюристов и бухгалтеров. Методыпротиводействия Что касается вектора распространения вредоноса, то он вполнетрадиционен — почтовые вложения, рассылаемые со спамом. «Ключевой и, пожалуй, единственный действенный способзащищаться от шифровальщиков-вымогателей подобного рода — это регулярноерезервирование данных на "холодных" носителях, — считает Олег Галушкин, директор по информационнойбезопасности компании SEC Consult Services. — Учитывая, что GandCrabраспространяется в качестве вложений в электронной почте и использует недавнююуязвимость в Windows, необходимыми профилактическими мерами будет такжеустановка обновлений операционной системы и осторожность в работе с email. Есливложения вызывают хотя бы минимальное подозрение, следует перепроверить ихисточник. Также может помочь антивирусное средство, оснащенное инструментамиповеденческого анализа». Ссылка на источник