Адрес документа: http://lib.itsec.ru/newstext.php?news_id=121842
Напомню, что GandCrab был обнаружен в январе 2018 года. Шифровальщик не только стал первой малварью, принимающей выкупы в криптовалюте DASH, он также отличался способом распространения, — для этих целей малаварь использовала не только спам, но и наборы эксплоитов RIG и GrandSoft.
Еще одной интересной особенностью шифровальщика, которая дополнительно защищала операторов GandCrab от бдительного ока властей, стало использование доменов в зоне .bit, то есть Namecoin. На нескольких доменах .bit располагались управляющие серверы вредоноса, причем домены, словно в качестве издевки, были названы "в честь" различных известных ИБ-компаний и ресурсов.
По данным компании Европола и компании Microsoft, семейство GandCrab является одним из наиболее "популярных" и агрессивных шифровальщиков в 2018 году, наряду известным вымогателем Spora.
Хотя ранее представители Европола, румынской полиции и DIICOT (Следственного управления по борьбе с организованной преступностью и терроризмом) заявляли, что произвели серию арестов в связи с расследованием активность GandCrab, очевидно, самих вирусописателей пока задержать не удалось. 5 марта 2018 года специалист MalwareHunterTeam обнаружил новую версию шифровальщика, отличную от оригинала.
ИБ-специалист и основатель Bleeping Computer Лоренс Абрамс (Lawrence Abrams) рассказывает, что основным отличием GandCrab v2 являются новые имена хостов управляющих серверов. Теперь злоумышленники используют politiaromana[.]bit, "в честь" румынской полиции, помогавшей в создании дешифровщика для первой версии, malwarehunterteam[.]bit, "в честь" MalwareHunterTeam, а также gdcb[.]bit.
Кроме того, теперь шифровальщик добавляет пострадавшим файлам расширение .CRAB, а своем послании для жертв злоумышленники предлагают связываться с ними через мессенджинговый сервис Tox.
Как уже было сказано выше, вышедший ранее инструмент для дешифровки файлов не работает для новой версии GandCrab. Пострадавшим пользователям рекомендуют обращаться в соответствующую тему на форуме Bleeping Computer и запасаться терпением.
Copyright © 2004-2019, ООО "ГРОТЕК"