GrandCrab Ransomware v4.1.2. Лаборатория Malwarebytes
Программа-вымогатель GrandCrab устанавливается в компьютерные системы посредством замаскированной загрузки из Интернета, чаще всего в виде квитанций в формате PDF, и шифрует локальные данные пользователя, выполняя свои файлы .gdcb и .crab. Эта программа-вымогатель является самой распространенной вредоносной программой в своем роде и использует Magnitude Exploit Kit для распространения на свою добычу. Последняя версия программы-вымогателя GrandCrab, версия 4.1.2, была недавно обнаружена, и до того, как ее атаки наберут обороты, южнокорейская компания по кибербезопасности, АнЛаб , реплицировал шестнадцатеричную строку, которая выполняется на скомпрометированных системах программой-вымогателем GrandCrab 4.1.2, и компания сформулировала ее так, чтобы она существовала в незащищенных системах безвредно, так что когда программа-вымогатель входит в систему и выполняет свою строку для ее шифрования, она обманутым, заставив думать, что компьютер уже зашифрован и скомпрометирован (предположительно уже заражен), и поэтому программа-вымогатель не выполняет повторно то же шифрование, которое могло бы дважды зашифровать и полностью уничтожить файлы.
Шестнадцатеричная строка, сформулированная AhnLab, создает уникальные шестнадцатеричные идентификаторы для своих хост-систем на основе деталей самого хоста и алгоритма Salsa20, который используется вместе. Salsa20 - это структурированный потоковый симметричный шифр с длиной ключа 32 байта. Было замечено, что этот алгоритм эффективен против множества атак и редко скомпрометировал свои хост-устройства при воздействии злоумышленников. Шифр был разработан Дэниелом Дж. Бернстайном и представлен eStream в целях развития. Теперь он используется в механизме борьбы с AhnLab's GrandCrab Ransomware v4.1.2.
Сформулированное приложение для защиты от GC v4.1.2 сохраняет свой файл .lock [шестнадцатеричная строка] в разных местах в зависимости от операционной системы Windows хоста. В Windows XP приложение сохраняется в папке C: Documents and Settings All Users Application Data. В более новых версиях Windows, Windows 7, 8 и 10 приложение хранится в C: ProgramData. На данном этапе ожидается, что приложение сможет успешно обмануть GrandCrab Ransomware v4.1.2. Он еще не был протестирован против более старых версий вымогателей, но многие подозревают, что если файлы из нового приложения будут сопоставлены со старыми кодами борьбы с вымогателями, они могут быть доведены до должного уровня с помощью резервного копирования и будут эффективно отражать атаку. из старых версий вымогателей. Чтобы оценить угрозу, которую представляет эта программа-вымогатель, Fortinet опубликовала подробные исследование по этому вопросу и для защиты от угрозы AhnLab предоставила свое приложение для бесплатной загрузки по следующим ссылкам: Ссылка 1 & Ссылка 2 .
