Шифровальщик GandCrab был обнаружен в январе 2018 года. Он не только стал первой малварью, принимающей выкупы в криптовалюте DASH, он также отличался способом распространения, — для этих целей малаварь использовала не только спам, но и наборы эксплоитов RIG и GrandSoft.

Еще одной интересной особенностью вредоноса, которая дополнительно защищала операторов GandCrab от бдительного ока властей, стало использование доменов в зоне .bit, то есть Namecoin. На нескольких  доменах .bit располагались управляющие серверы, причем домены, словно в качестве издевки, были названы «в честь» различных известных ИБ-компаний и ресурсов.

Авторы GandCrab продолжают обновлять и развивать свой «продукт». Так, в начале марта 2018 года специалисты компании Bitdefender выпустили бесплатный инструмент для расшифровки файлов, пострадавших от атак шифровальщика, но уже неделю спустя была обнаружена новая версия, для которой дешифровщик оказался бесполезен.

Недавно специалисты компании Fortinet сообщили, что GandCrab в очередной раз обновился (до версии 4) и теперь распространяется и через скомпрометированные сайты. Такие ресурсы переадресуют посетителей на отдельную веб-страницу, где размещается прямая ссылка для загрузки исполняемых файлов малвари. Эти ссылки регулярно меняются.

Также сообщалось, что малварь четвертой версии изменяет расширения пострадавших файлов на .KRAB (ранее использовалось расширение .CRAB), использует систему поточного шифрования Salsa20, а также не нуждается в командах от  управляющего сервера для начала процедуры шифрования данных.

Прошло всего несколько дней после обнаружения GandCrab 4, а известный ИБ-эксперт Кевин Бомонт (Kevin Beaumont) уже сообщил о появлении GandCrab 4.1. Специалист предупредил, что новая вариация вредоноса вооружена SMB-эксплоитом, похожим на известный EternalBlue, и способна атаковать Windows XP и Windows Server 2003.

Напомню, что вышеназванный эксплоит был похищен у АНБ хакерской группой Shadow Brokers еще в 2016 году (наряду с другими инструментами), а затем опубликован в открытом доступе. Именно с его помощью была осуществлена атака нашумевшего шифровальщика WannaCry. Интересно, что оригинальная версия EternalBlue была практически бесполезна против Windows XP и чаще попытка заражения WannaCry провоцировала появление БСОД, а не успешную установку шифровальщика.

Бомонд пишет, что фактически GandCrab – это первый SMB-червь, который действительно представляет угрозу для Windows XP и Windows Server 2003. Учитывая, что малвари теперь не требуется связь с C&C-сервером, исследователь предполагает, что операторы GandCrab нацелились на устаревшие инфраструктуры и системы, где может не быть даже простейшего антивируса и не установлены важные обновления.

Лучше защитой от новой версии шифровальщика является установка обновления MS17-010, выпущенного компанией Microsoft в 2017 году, по следам эпидемии WannaCry, и отключение SMB1. Напомню, что учитывая всю серьезность ситуации, тогда разработчики сделали исключение и опубликовали исправления даже для неподдерживаемых ОС: Windows XP, Windows 8 и Windows Server 2003. Кроме того, Бомонд напоминает, что различные версии GandCrab чаще всего отлично обнаруживаются антивирусным ПО, так что пренебрегать им тоже не следует.

Теги: CSS, GandCrab Windows версии Server была