Les créateurs de ransomware de GandCrab ne dorment pas que le virus a été détecté pour infecter les utilisateurs via ce qui semble être le jeu et d'autres fissures logiciels, selon récents rapports.
La GandCrab ransowmare a été régulièrement mis à jour avec de plus en plus de ses améliorations de méthodes d'infection et malware lui-même. Le virus a passé plusieurs versions internes et est maintenant officiellement dans sa 4.4 version les chercheurs ont récemment détecté. Et le virus a eu plusieurs fonctionnalités supprimées tandis que d'autres ont été ajoutés à ce, mais la plupart d'entre eux sont restés les mêmes, Mis à part le fait que le GandCrab 4 les logiciels malveillants utilise maintenant les fichiers .exe de fissures pour des jeux ou des logiciels sous licence pour infecter les victimes.
GandCrab 4 Cibles Les utilisateurs de sites à faible Rep, offrant fissures
Au cours de leurs enquêtes, les chercheurs ont détecté le virus à utiliser les sites de WordPress qui sont souvent utilisés par les auteurs de logiciels malveillants. Cela est dû au fait qu'ils sont faciles à installer et facile à exploiter. Sur l'un des sites, les chercheurs ont trouvé des pages Web, contenant les liens web de téléchargement du GandCrab 4« S fichier exécutable, masqués comme des fissures pour les programmes suivants:
- Image to PDF fusion 2.8.0.4
- Securitask 2005 1.40H
- SysTools PST Merge 3.3
Des chercheurs de Fortinet ont même détecté les pages à être bien écrit et bien structuré avec une description détaillée du programme, l'utilisateur est à la recherche d'une fissure pour l'idée principale derrière elle étant le fait que l'utilisateur doit faire confiance au site afin de télécharger et d'exécuter la fissure.
Image Source: Fortinet
Changement significatif de cryptage de GandCrab 4
Le virus a subi plusieurs changements ici et là, comme le fond d'écran ne sont plus utilisés et plusieurs de ses caractéristiques supprimées. Le plus grand changement a toutefois été la GandCrab façon dont les fichiers sur encrypte les ordinateurs infectés.
en relation: GandCrab Ransomware Mis à jour - Cibles Windows XP et les anciens serveurs
Le ransomware a choisi d'utiliser la cryptage Salsa20 au lieu de celui qu'il a utilisé jusqu'à présent, appelé RSA-2048. contrairement à Salsa20, le chiffrement RSA est devenue courante pour les virus ransomware et les chercheurs croient que la principale raison pour le passage à Salsa20 est que le temps de cryptage est beaucoup plus rapide que ce serait progressivement avec RSA-2048, utilisé avec les versions précédentes, il est. L'algorithme de chiffrement Salsa20 est également connu dans le monde cyber-sécurité comme il a été utilisé dans un virus qui a provoqué une épidémie majeure au cours de 2017 - Petya Ransomware.
La nouvelle version utilise également un obscurcissement plus avancé et, en mesure d'échapper à la plupart des programmes antivirus traditionnels. Les pirates sont également très rapide dans la gestion de leurs URL de téléchargement sur les sites WordPress compromis et, la modification des URL souvent afin de poursuivre la diffusion de GandCrab 4.
GandCrab 4 ransomware a été infectant les utilisateurs depuis la fin 2017 et le virus a été l'un des premiers Htat a demandé aux victimes de payer des centaines de dollads dans DASH jetons de crypto-monnaie. Le logiciel malveillant est probablement couru par une grande entité hacking car il est pas un virus facile d'arrêter, car souvent des escrocs trouver différentes méthodes pour contourner les logiciels de sécurité traditionnels, la prise GandCrab ce qui semble être le ransomware les plus percutants de 2018 jusque là.