امکان رمزگذاری سریع‌تر در ۴,۰ GandCrab
کد مطلب: 14270
تاریخ انتشار : شنبه ۲۳ تير ۱۳۹۷ ساعت ۱۶:۲۶
 
نسخه‌های جدید باج‌افزار GandCrab روش‌های سریع‌تری را برای رمزگذاری اطلاعات به‌کار می‌گیرد.
امکان رمزگذاری سریع‌تر در ۴,۰ GandCrab
 
 
Share/Save/Bookmark
نسخه‌های جدید باج‌افزار GandCrab روش‌های سریع‌تری را برای رمزگذاری اطلاعات به‌کار می‌گیرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نسخه ۴,۰ باج‌افزار GandCrab منتشر شده‌است که از روش‌های سریع‌تری برای رمزگذاری اطلاعات استفاده‌می‌کند. در این نسخه از Salsa۲۰ stream cipher به جای RSA-۲۰۴۸ برای رمزگذاری استفاده شده‌است که از این روش در باج‌افزار Petya نیز استفاده شده‌است.

همچنین ویژگی دیگر نسخه ۴.۰ عدم نیاز به اتصال سیستم قربانی به اینترنت است بدین‌معنی که باج‌افزار نیازی به اتصال به سرور C&C ندارد. باج‌افزار از طریق وب‌سایت‌های وردپرسی آلوده گسترش پیدا می‌کند. پس از بازدید از این وب‌سایت‌ها، کاربر به آدرس دانلود فایل اجرایی باج‌افزار منتقل می‌شود.

الگوی آدرس دانلود باج‌افزار به‌صورت زیر است:
http://<domain>/file_c.php<random_chars>=<HEX_digest_of_cracked_appname>
برای مثال:
(http[:]//gagaryn[.]com/file_c.php?lkgpsudyvbjs=۴۳۷۲۶۱۶۳۶b۵f۴d۶۵۷۲۶۷۶۹۶e۶۷۵f۴۹۶d۶۱۶۷۶۵۵f۷۴۶f۵f۵۰۴۴۴۶۲e۶۵۷۸۶۵ (Crack_Merging_Image_to_PDF.exe

باج‌افزار پس از اجرا فایل‌های کاربر را رمزگذاری می‌کند و به آنها پسوند .KRAB را اضافه می‌کند. همچنین یک فایل KRAB-DECRYP.txt نیز به هر پوشه اضافه می‌شود که حاوی توضیحات مهاجم برای پرداخت و رمزگشایی فایل‌هاست.
مهاجم برای اطمینان، این قابلیت را به قربانی می‌دهد تا بتواند به‌صورت رایگان یک فایل را رمزگشایی کند. هرچند در آزمایش‌های انجام‌شده توسط کارشناسان، رمزگشایی رایگان به‌خوبی عمل نکرده‌است. با این حال توصیه می‌شود که قربانیان باج خواسته‌شده توسط مهاجم را پرداخت نکنند. پس از انتشار نسخه ۴,۰ خبرهایی مبنی‌بر انتشار نسخه ۴.۱ منتشر شد.

بر اساس گزارش منتشر شده، نسخه ۴.۱ باج‌افزار GandCrab قابلیت نفوذ به سیستم عامل‌های قدیمی مانند Windows XP و ۲۰۰۳ را دارد. نسخه جدید باج‌افزار GandCrab v۴.۱ مجهز به یک اکسپلویت SMB است که می‌تواند به ویندوزهای XP و ۲۰۰۳ و همچنین ویندوزهای بالاتر نفوذ کند. به گفته کارشناسان، GandCrab v۴.۱ اولین باج‌افزاری است که از سیستم‌های قدیمی پشتیبانی می‌کند.

این نسخه دارای ماژولی است که باعث می‌شود باج‌افزار نیازی به ارتباط با سرور C&C نداشته باشد که می‌تواند در محیط‌های air-gapped فعالیت کند. این مورد برای کارخانه‌های صنعتی که در آنها استفاده از ویندوز XP متداول است، خطرساز است.

کارشناسان هشدار داده‌اند که با توجه به اینکه این باج‌افزار برای گسترش نیازی به دسترسی به اینترنت ندارد و سیستم‌های قدیمی مانند XP و ۲۰۰۳ را تحت تاثیر قرار می‌دهد، سیستم‌هایی که امنیت کافی ندارد را در معرض خطر قرار می‌دهد.

به منظور جلوگیری از این تهدید، سیستم‌های قدیمی XP و ۲۰۰۳ باید به‌روزرسانی شوند و وصله MS۱۷-۰۱۰ روی آنها نصب شود. همچنین استفاده از آنتی‌ویروس و جداسازی سیستم‌ها نیز پیشنهاد می‌شود. مدیران شبکه‌هایی که از ویندوزهای بالاتر استفاده می‌کنند باید گزینه SMB۱ را غیر فعال کنند. این گزینه در ویندوزهای قدیمی در دسترس نیست.
مرجع : مرکز مدیریت راهبردی افتا