SOS :: Security Operation Space
23 июля, понедельник, 00:00
|
Hot News:

Спамеры распространяют DLL-версию GandCrab

09 февраля 2018 г., пятница, 19:35

Шифровальщик расширяет зону влияния. Теперь зловред рассылают по электронной почте.

Шифровальщик GandCrab, обнаруженный в конце января 2018 года, обретает новые формы. В среду 7 февраля новая волна спам-рассылки, содержащей вредоносный PDF-файл, распространила не встречавшуюся до этого DLL-версию зловреда.

Письма замаскированы под платежные квитанции. Темы — Receipt Feb-21310 или Electricity bill Feb-6509 — должны побудить получателя открыть прилагающийся документ.

По содержащейся в нем ссылке с сайта butcaketforthen.com загружается DOC-файл, содержащий макрос, который запускает PowerShell-скрипт, устанавливающий GandCrab с sorinnohoun.com.

Предыдущие версии GandCrab скачивались на компьютер в виде EXE-файла. Шифровальщик распространялся через эксплойт-пак RIG, а затем через веб-страницы, требующие установки шрифта HoeflerText. Новый вид вымогателя существует в форме библиотеки DLL, к которой обращается строка base64 PowerShell-скрипта.

Запущенная программа обращается к домену nomoreransom.coin. Предыдущие версии использовали серверы, расположенные в зоне .BIT, в том числе nomoreransom.bit. После установки соединения зловред добавляет файлам на компьютере расширение GDCB и размещает на жестком диске сообщения с инструкцией к дальнейшим действиям в документе GDCB-DECRYPT.txt.

Мошенники требуют от пользователей скачать браузер Tor и через него открыть ссылку, указанную в письме. На сайте предлагается расшифровать бесплатно один из файлов размером не более 2 MB, а затем приобрести дешифровщик GandCrab за 2,07 DASH — $1580 на момент написания статьи. Это первый вымогатель, который требует выкуп в DASH.

Аналитик Брэд Дункан (Brad Duncan) отмечает, что избежать заражения при грамотном управлении системой несложно. Вредоносные PDF- и DOC-файлы выдают множество предупреждений, прежде чем запускается процесс установки GandCrab. Кроме того, изначальная ссылка чувствительна к IP-адресам — при попытке подключиться через прокси она выдает ошибку 404.

В любом случае, пользователям рекомендуется внимательнее относиться к входящим письмам и не открывать файлы, присланные с неизвестных адресов.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:45
13:29
11:06
17:30
14:26
12:07
12:07
06:35
04:35
17:14
16:54
16:40
14:57
11:45
17:04
16:00
15:10
14:49


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.076
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.