GandCrab: Ransomware Dash Baru yang ada di Longgar

Tahun lalu kelihatan seperti tahun untuk Ransomware. Kami melihat percambahan Wannacry, Bad Rabbit dan Petya untuk beberapa nama. Serangan ini melumpuhkan komputer secara menyeluruh dari perniagaan ke hospital.

Sekarang, nampaknya momok ransomware masih hidup dan kuat pada tahun 2018.

Jenis baru Ransomware yang disebut “GandCrab” adalah membuat pusingan dan menimbulkan bahaya. Ketegangan ini, yang berasal dari Rusia juga menarik dalam arti bahawa ia adalah salah satu dari beberapa jenis “ransomware sebagai perkhidmatan”.

Satu lagi perkara menarik mengenai GandCrab ialah ia menggunakan cryptocurrency DASH dan bukannya Bitcoin. Ini mungkin disebabkan oleh kesukaran untuk mengesan pembayaran ini.

Mari kita lihat lebih mendalam mengenai ancaman terbaru dan apa yang boleh anda lakukan untuk mengelakkannya.

Apa itu GandCrab?

GandCrab adalah Ransomware yang disebarkan melalui dua kit eksploitasi, iaitu RIG EK dan GrandSoft EK. Ia pertama kali ditemui pada awal tahun ini pada 26 Januari. Berikut adalah tweet penyelidik yang dimaksudkan.

Ransomware sejak itu mendapat perhatian lebih banyak di kalangan keselamatan siber dan telah melakukan lebih banyak kajian mengenainya. Salah satu syarikat ini adalah LMNTRIX yang berpusat di Australia. Mereka juga menyelidiki forum darkweb untuk menentukan bagaimana ransomware diedarkan.

Ini beroperasi sebagai salah satu dari sedikit serangan “ransomware as service”. Pada dasarnya, penyerang akan beroperasi pada struktur afiliasi di mana pemaju akan mendapat peratusan potongan dari sekutu. Pembangun ransomware menawarkan pembaikan tanpa had dan sokongan teknikal untuk kod tersebut.

Mereka juga menawarkan peluang kepada rakan kongsi yang lebih besar untuk mendapatkan potongan yang lebih baik dari 60:40 biasa hingga 70:30 yang lebih menguntungkan. Itulah sifat tawaran jenayah ini yang bahkan mereka telah melepaskan a Youtube video yang membawa rakan kongsi melalui menetapkan ransomware.

Terdapat sedikit sekatan di mana pengguna dapat beroperasi namun mereka tidak dibenarkan menyasarkan warga negara-negara di bekas Kesatuan Soviet. Ini kemungkinan besar disebabkan oleh pengendali dan pelayan yang berada di negara-negara ini.

Bagaimana Ia Beroperasi?

The ransomware GandCrab menggunakan kit eksploitasi Rig dan Grandsoft yang terkenal. Ini telah diketahui memberikan perisian hasad pada masa lalu melalui laman web yang dikompromikan. Mereka hanya pernah digunakan sebelumnya untuk muatan Malware.

Baru-baru ini juga dilaporkan oleh MalwareBytes Makmal yang memuatkan GandCrab juga diedarkan melalui spam EITest dan Necurs. Yang terakhir akan meminta pengguna memuat turun invois pdf untuk perhatian mereka.

GandCrab E-mel Berbahaya pdf

E-mel dengan pdf Berniat jahat. Sumber: bleepingcomputer.com

Sebaik sahaja pengguna memuat turun pdf, mereka akan diminta untuk melengkapkan captcha dalam fail pdf. Setelah selesai, ia akan membuat fail perkataan jahat yang memerlukan pengguna untuk mengaktifkan makro. Sekiranya pengguna melakukan ini, ia akan mencetuskan makro yang akan menjalankan skrip PowerShell.

Ini kemudian akan melancarkan ransomware GandCrab dan mula menyambung ke pelayan perintah dan kawalan (yang menggunakan domain .bit). Ini akan menyulitkan fail pengguna dan mereka akan diberi url .onion di mana mereka dapat mengakses halaman tebusan. Berikut adalah halaman yang dipersoalkan yang meminta 1.5 DASH.

Nota GandCrab Ransomware

Skrin nota yang menjengkelkan. Sumber: malwarebytes.com

Seperti yang akan dilihat dengan kempen ransomware yang serupa, harga penyahsulitan akan meningkat setelah jangka waktu tertentu. Ini dilakukan untuk menimbulkan desakan pihak mangsa. Pada harga pasaran semasa, penyahsulitan berharga $ 1.050. Ini jauh lebih tinggi daripada harga dalam serangan sebelumnya yang menuntut dalam Bitcoin.

DASH telah menerapkan sejumlah protokol peningkatan privasi yang berusaha menyembunyikan transaksi yang dimaksudkan. Sebagai contoh, mereka menggunakan sesuatu yang disebut pencampuran Darksend yang akan mencampurkan semua syiling anda dengan yang lain di blockchain. Ini dapat membantu ketika pihak berkuasa mengesan transaksi.

Pelajaran yang perlu dipelajari

Mungkin perlu dikatakan bahawa anda tidak boleh memuat turun dokumen pdf dari orang yang anda tidak kenal. Ini semestinya merupakan tanda-tanda eksploitasi jahat yang cuba dilakukan oleh seseorang di PC anda.

Berkenaan dengan vektor eksploitasi lain yang digunakan oleh GandCrab, anda harus mengelakkan laman web yang tidak anda hala tuju. Cuba elakkan mengklik pautan ke iklan yang mencurigakan.

Terakhir, dan yang paling penting, memasang program antivirus yang berkesan akan membantu mengenal pasti eksploitasi. Selalunya, pengguna adalah pautan paling lemah dalam serangan ransomware.

Gambar Pilihan melalui Fotolia & Sengkang

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me