GrandCrab Ransomware v4.1.2. Malwarebytes Lab
GrandCrab Ransomware se instalează în sistemele computerului gazdă prin descărcări online deghizate, cel mai probabil sub formă de chitanțe PDF și criptează datele locale ale utilizatorului executând fișierele .gdcb și .crab. Acest ransomware este cel mai răspândit malware de acest gen și folosește Magnitude Exploit Kit pentru a se răspândi la prada sa. Cea mai recentă versiune a GrandCrab Ransomware, versiunea 4.1.2, a fost recent descoperită și, înainte ca atacurile sale să ia avânt, o companie sud-coreeană de securitate cibernetică, AhnLab , a replicat șirul hexazecimal care este executat pe sistemele compromise de ransomware-ul GrandCrab 4.1.2, iar compania a formulat-o ca să existe pe sisteme neafectate inofensiv, astfel încât atunci când ransomware-ul intră într-un sistem și să-și execute șirul pentru a-l cripta, este păcălit să creadă că computerul este deja criptat și compromis (deja infectat, presupus) și astfel ransomware-ul nu reexecută aceeași criptare care ar cripta dublu și ar distruge fișierele în totalitate.
Șirul hexazecimal formulat de AhnLab creează ID-uri hexazecimale unice pentru sistemele sale gazdă pe baza detaliilor gazdei în sine și a unui algoritm Salsa20 care este utilizat împreună. Salsa20 este un flux structurat de cifre simetrice cu lungimea cheii de 32 de octeți. S-a observat că acest algoritm are succes împotriva unei multitudini de atacuri și rareori și-a compromis dispozitivele gazdă atunci când este expus hackerilor rău intenționați. Cifrul a fost dezvoltat de Daniel J. Bernstein și trimis la eStream în scopuri de dezvoltare. Acum este utilizat în mecanismul de luptă GrandCrab Ransomware v4.1.2 AhnLab.
Aplicația formulată pentru evitarea GC v4.1.2 salvează fișierul său. [Hexadecimal-string] .lock în locații diferite bazate pe sistemul de operare Windows al gazdei. În Windows XP, aplicația este salvată în C: Documents and Settings All Users Application Data. În versiunile mai noi de Windows, Windows 7, 8 și 10, aplicația este stocată în C: ProgramData. În această etapă, se așteaptă ca aplicația să păcălească cu succes GrandCrab Ransomware v4.1.2. Nu a fost încă pusă la încercare împotriva versiunilor mai vechi ale ransomware-ului, dar mulți suspectează că, dacă fișierele din aplicația mai nouă sunt potrivite cu coduri de luptă mai vechi ale ransomware-ului, acestea ar putea fi aduse la egalitate prin backporting și ar putea deveni eficiente în aruncarea atacurilor din versiuni mai vechi ale ransomware-ului. Pentru a evalua amenințarea pe care o reprezintă acest ransomware, Fortinet a publicat detaliat cercetare în această privință și pentru a ne proteja de amenințare, AhnLab și-a pus la dispoziție aplicația pentru descărcare gratuită prin următoarele linkuri: Legătura 1 & Legătura 2 .
