بدافزار GandCrab بهطور مستمر در حال تکمیل است و مجرمین سایبری کدهای خود را بر حسب نیازشان تغییر می دهند تا نرم افزارهای امنیتی را دور بزنند و این تنها، کد نیست که مرتباً تغییر می کند بلکه مجموعه ویژگی ها و متدهای توزیع آن نیز در حال تغییر است. در واقع سه متغیر تازه از نوع شناخته شده این بدافزار وجود دارد که در حال حاضر ویرانگر بوده و کمپین وسیعی برای آلوده ساختن بسیاری از رایانهها در حال وقوع است.
به محض آلوده شدن دستگاه به این باج افزار، درایوهای دستگاه و پوشه های اشتراکی شبکه مورد پویش قرار می گیرند. باید توجه داشت که پویش شبکه محدود به شناسایی درایوهای Map شده نبوده و شامل هرگونه پوشه اشتراکی با سطح دسترسی نوشتن در سطح شبکه سازمان می شود.
با شناسایی هر فایل، پروسه رمزگذاری بر روی آن اجراشده و در پایان به آن پسوندی با پنج نویسه تصادفی چسبانده می شود.
در فایل اطلاعیه این Ransomware نسخه جدید، با نام [extension]-DECRYPT.html که در آن extension به پسوند تصادفی اشاره دارد، از قربانی خواسته می شود که برای دریافت کلید رمزگشایی به سایت http://gandcrabmfe6mnef.onion در شبکه ناشناس TOR مراجعه کند.
در حال حاضر مبلغ اخاذی شده که در ازای آن، نویسندگان این باج افزار آن را رمزگشایی فایل ها می خوانند، 1200 دلار است که بر اساس توضیحات سایت مذکور باید در واحد ارز رمز، (DASH)، پرداخت شود.
کلاه برداری هکرها با نصب بدافزار GandCrab
1397/11/24