Os criadores de GandCrab ransomware não dormem como o vírus foi detectado aos usuários infecto via o que parece ser jogo e outras rachaduras software, de acordo com relatórios recentes.
o GandCrab ransowmare tem sido constantemente atualizado com mais e mais melhorias para seus métodos de infecção e ao próprio malware. O vírus passou vários versão interna e é agora oficialmente em sua 4.4 versão como pesquisadores detectaram recentemente. E o vírus teve vários recursos removidos enquanto outros foram adicionados a ele, mas a maioria deles permaneceram os mesmos, além do fato de que o GandCrab 4 malwares agora usa os arquivos .exe de rachaduras para jogos ou software licenciado para vítimas infecto.
GandCrab 4 Alvos Os usuários de Low-Rep Sites, Rachaduras de oferta
Durante o curso de suas investigações, pesquisadores detectaram o vírus para usar sites WordPress que são frequentemente utilizados pelos autores de malware. Isto é devido ao fato de que eles são fáceis de configurar e fácil de explorar. Em um dos sites, Os pesquisadores descobriram páginas web, que contém os links de download da web do GandCrab 4É arquivo executável, mascarado como rachaduras para os seguintes programas:
- Mesclando Image to PDF 2.8.0.4
- Securitask 2005 1.40H
- SysTools PST Mesclar 3.3
pesquisadores da Fortinet Detectei até mesmo páginas para ser bem escrito e bem estruturada, com uma descrição detalhada do programa, o usuário está procurando uma fresta para com a ideia principal por trás disso é o fato de que o usuário deve confiar no site para fazer o download e executar o crack.
image Source: Fortinet
Mudança significativa na criptografia de GandCrab 4
O vírus sofreu várias alterações aqui e ali, como o papel de parede não está mais sendo utilizado e várias de suas características removido. A maior mudança, porém, foi a maneira GandCrab criptografa os arquivos nos computadores comprometidos.
relacionado: GandCrab ransomware Atualizado - Metas do Windows XP e servidores mais antigos
O ransomware optou por utilizar o criptografia Salsa20 ao invés do que se usou até agora, chamado RS-2048. Ao contrário Salsa20, a cifra RSA se tornou mainstream para vírus ransomware e pesquisadores acreditam que a principal razão para a mudança para Salsa20 é que o tempo de criptografia é muito mais rápido do que seria gradualmente com RSA-2048, usado com ele de versões anteriores. O algoritmo de criptografia Salsa20 também é conhecido no mundo do ciber-segurança, uma vez que foi usado em um vírus que causou um grande surto durante 2017 - Petya Ransomware.
A nova versão também usa uma ofuscação mais avançado bem, capaz de escapar a maioria dos programas antivírus tradicionais. Os hackers também são muito rápidos na gestão de seus URLs de download nos sites WordPress comprometidos bem, mudando URLs muitas vezes, a fim de continuar a propagação de GandCrab 4.
GandCrab 4 ransomware foi infectando usuários desde o final 2017 e o vírus foi um dos primeiros htat exigiu vítimas a pagar centenas de dollads em fichas criptomoeda DASH. O malware é provável correu por uma entidade pirataria grande, pois não é um vírus fácil de paragem, desde bandidos muitas vezes encontrar diferentes métodos para software de segurança tradicional de bypass, tornando GandCrab o que parece ser o ransomware mais impactante de 2018 tão longe.