GrandCrab Ransomware v4.1.2 Kraja preprečena z algoritmom Salsa20

GrandCrab Ransomware v4.1.2. Malwarebytes Lab

GrandCrab Ransomware se prek prikritih spletnih prenosov namesti v gostiteljske računalniške sisteme, najpogosteje v obliki računov, in šifrira lokalne podatke uporabnika z izvajanjem datotek .gdcb in .crab. Ta izsiljevalska programska oprema je najbolj razširjena zlonamerna programska oprema te vrste in uporablja Magnitude Exploit Kit za širjenje na svoj plen. Pred kratkim je bila odkrita najnovejša različica GrandCrab Ransomware, različica 4.1.2, in preden njeni napadi dobijo zagon, je južnokorejsko podjetje za kibernetsko varnost AhnLab , je repliciral heksadecimalni niz, ki ga v ogroženih sistemih izvaja GrandCrab izsiljevalec 4.1.2, podjetje pa ga je oblikovalo tako, da obstaja na neokrnjenih sistemih neškodljivo, tako da ko ransomware vstopi v sistem in izvede svoj niz za njegovo šifriranje, nagovarjali, da je računalnik že šifriran in ogrožen (domnevno že okužen), zato izsiljevalska programska oprema ne izvede ponovno istega šifriranja, ki bi datoteke dvakrat šifriralo in uničilo.

Šestnajstiški niz, ki ga je oblikoval AhnLab, ustvari edinstvene šestnajstiške ID-je za svoje gostiteljske sisteme na podlagi podrobnosti samega gostitelja in algoritma Salsa20, ki se uporablja skupaj. Salsa20 je strukturiran tok simetrične šifre z dolžino ključa 32 bajtov. Opazili so, da je ta algoritem uspešen pri številnih napadih in je le redko ogrožal gostiteljske naprave, če je bil izpostavljen zlonamernim hekerjem. Šifro je razvil Daniel J. Bernstein in jo poslal eStream za razvojne namene. Zdaj je v uporabi v borilnem mehanizmu GrandCrab Ransomware v4.1.2 podjetja AhnLab.

Formulirana aplikacija za zaščito pred GC v4.1.2 shrani svojo datoteko .lock [hexadecimal-string] .lock na različna mesta, ki temeljijo na operacijskem sistemu Windows gostitelja. V operacijskem sistemu Windows XP se aplikacija shrani v C: Documents and Settings All Users Application Data. V novejših različicah Windows, Windows 7, 8 in 10 je aplikacija shranjena v C: ProgramData. Na tej stopnji naj bi aplikacija uspešno prevarala GrandCrab Ransomware v4.1.2. Zaenkrat še ni preizkušen nad starejšimi različicami izsiljevalne programske opreme, vendar mnogi sumijo, da bi se datoteke iz novejše aplikacije lahko ujemale s starejšimi kodami za boj proti izsiljevalski programski opremi, zato bi jih lahko s pomočjo backporting-a pripravili na enak način in zagotovili učinkovito odmetavanje napadov. tudi iz starejših različic odkupne programske opreme. Da bi ocenil grožnjo, ki jo predstavlja ta izsiljevalec, je Fortinet objavil podrobne podatke raziskave o tej zadevi in ​​za zaščito pred grožnjo je AhnLab dal njihovo aplikacijo na voljo za brezplačen prenos prek naslednjih povezav: Povezava 1 & Povezava 2 .