نسخههای جدید باجافزار GandCrab روشهای سریعتری را برای رمزگذاری اطلاعات بهکار میگیرد.
منبع : مرکز مدیریت راهبردی افتا
نسخههای جدید باجافزار GandCrab روشهای سریعتری را برای رمزگذاری اطلاعات بهکار میگیرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نسخه ۴,۰ باجافزار GandCrab منتشر شدهاست که از روشهای سریعتری برای رمزگذاری اطلاعات استفادهمیکند. در این نسخه از Salsa۲۰ stream cipher به جای RSA-۲۰۴۸ برای رمزگذاری استفاده شدهاست که از این روش در باجافزار Petya نیز استفاده شدهاست.
همچنین ویژگی دیگر نسخه ۴.۰ عدم نیاز به اتصال سیستم قربانی به اینترنت است بدینمعنی که باجافزار نیازی به اتصال به سرور C&C ندارد. باجافزار از طریق وبسایتهای وردپرسی آلوده گسترش پیدا میکند. پس از بازدید از این وبسایتها، کاربر به آدرس دانلود فایل اجرایی باجافزار منتقل میشود.
باجافزار پس از اجرا فایلهای کاربر را رمزگذاری میکند و به آنها پسوند .KRAB را اضافه میکند. همچنین یک فایل KRAB-DECRYP.txt نیز به هر پوشه اضافه میشود که حاوی توضیحات مهاجم برای پرداخت و رمزگشایی فایلهاست. مهاجم برای اطمینان، این قابلیت را به قربانی میدهد تا بتواند بهصورت رایگان یک فایل را رمزگشایی کند. هرچند در آزمایشهای انجامشده توسط کارشناسان، رمزگشایی رایگان بهخوبی عمل نکردهاست. با این حال توصیه میشود که قربانیان باج خواستهشده توسط مهاجم را پرداخت نکنند. پس از انتشار نسخه ۴,۰ خبرهایی مبنیبر انتشار نسخه ۴.۱ منتشر شد.
بر اساس گزارش منتشر شده، نسخه ۴.۱ باجافزار GandCrab قابلیت نفوذ به سیستم عاملهای قدیمی مانند Windows XP و ۲۰۰۳ را دارد. نسخه جدید باجافزار GandCrab v۴.۱ مجهز به یک اکسپلویت SMB است که میتواند به ویندوزهای XP و ۲۰۰۳ و همچنین ویندوزهای بالاتر نفوذ کند. به گفته کارشناسان، GandCrab v۴.۱ اولین باجافزاری است که از سیستمهای قدیمی پشتیبانی میکند.
این نسخه دارای ماژولی است که باعث میشود باجافزار نیازی به ارتباط با سرور C&C نداشته باشد که میتواند در محیطهای air-gapped فعالیت کند. این مورد برای کارخانههای صنعتی که در آنها استفاده از ویندوز XP متداول است، خطرساز است.
کارشناسان هشدار دادهاند که با توجه به اینکه این باجافزار برای گسترش نیازی به دسترسی به اینترنت ندارد و سیستمهای قدیمی مانند XP و ۲۰۰۳ را تحت تاثیر قرار میدهد، سیستمهایی که امنیت کافی ندارد را در معرض خطر قرار میدهد.
به منظور جلوگیری از این تهدید، سیستمهای قدیمی XP و ۲۰۰۳ باید بهروزرسانی شوند و وصله MS۱۷-۰۱۰ روی آنها نصب شود. همچنین استفاده از آنتیویروس و جداسازی سیستمها نیز پیشنهاد میشود. مدیران شبکههایی که از ویندوزهای بالاتر استفاده میکنند باید گزینه SMB۱ را غیر فعال کنند. این گزینه در ویندوزهای قدیمی در دسترس نیست.