GandCrab Fidye Yazılımı

GandCrab fidye yazılımı, etkilenen bilgisayarlardaki verileri şifreleyen ve bir şifre çözme aracı karşılığında fidye ödenmesini talep eden bir kötü amaçlı yazılım tehdididir. Bu kriptovirüs ilk kez bu yılın Ocak ayının sonunda ortaya çıktı ve o zamandan beri araştırmacılar, aralarında GDCB, GandCrab v2, GandCrab v3, GandCrab v4 ve GandCrab v5'in de bulunduğu birkaç farklı GandCrab versiyonunu belirlediler. En son sürüm, yaklaşık bir ay önce Eylül 2018'de belirlendi. Bu fidye yazılımının özellikleri ve şifreleme mekanizmaları, ilk ortaya çıkışından bu yana gelişti - ilk üç sürüm, virüslü cihazdaki verileri kilitlemek için RSA ve AES şifreleme algoritmalarını kullanırken, sürüm 4 ve üzeri, Salsa20 gibi ek ve daha karmaşık şifreler kullanır. Kötü amaçlı yazılım araştırmacıları, Salsa20 şifresinin çok daha hızlı olması nedeniyle bunun çoğunlukla hız nedeniyle yapıldığına inanıyor. Hangi dosyaların şifreleneceğini seçme modeli de gelişti. Orijinal sürüm, dosyaların belirli bir dosya uzantıları listesine göre şifrelenip şifrelenmediğini kontrol ederken, ikinci ve sonraki tüm GandCrab sürümlerinde bunun yerine bir dışlama listesi bulunur ve bu listede görünmeyen diğer tüm dosyaları şifreler. Gerekli fidye miktarı da artırıldı.

Bu Hafta Kötü Amaçlı Yazılım Bölüm 21 Bölüm 3: GandCrab, REvil, Sodinokibi Fidye Yazılım Tehditleri 2020'nin 4. Çeyreğinde Son Derece Tehlikeli Kalıyor

GandCrab çoğunlukla spam e-postalar, istismar kitleri, sahte güncellemeler ve kırılmış yasal yazılımlar aracılığıyla dağıtılır. Tüm GandCrab vakalarının karakteristik bir özelliği, bu fidye yazılımının şifrelenmiş dosyalara belirli uzantılar eklemesidir. Kötü amaçlı yazılımın hangi sürümünün bilgisayara bulaştığına bağlı olarak, bu dosya uzantıları .gdcb, .krab, .crab, .lock veya rastgele 5 ila 10 harften oluşan bir kombinasyon olabilir. GandCrab'ın ilk sürümü, şifre çözme anahtarını virüslü bilgisayarın belleğinde bırakan kodda kritik bir hataya sahipti, bu nedenle Europol ve Romanya Polisi ile birlikte çalışan bir kötü amaçlı yazılımdan koruma şirketi hızla bir şifre çözücü geliştirdi ve ücretsiz olarak sundu. NoMoreRansom.org'dan indirin. Ancak, bundan hemen sonra, kötü amaçlı yazılım yazarları, şifre çözücünün sonraki tüm sürümler için artık çalışmaması için kusurun giderildiği güncellenmiş bir sürüm yayınladı. Bu noktada, GandCrab fidye yazılımının şu anda dolaşımda olan sürümleri için ücretsiz şifre çözme araçları yoktur, bu nedenle kullanıcılar çevrimiçi gezinirken veya e-posta iletilerini açarken çok dikkatli olmalıdır. Fidye yazılımlarına karşı en iyi ipucu, muhtemelen tüm değerli verilerinizin yedeklerini harici depolama aygıtlarında tutmaktır.

GandCrab İlk Üç Versiyonu Temel Bir Rutini Takip Ediyor

GandCrab bir sisteme sızdığı anda, bilgisayarda depolanan en değerli verileri hedefleyerek ve resimler, fotoğraflar, videolar, veritabanları, arşivler, Microsoft Office/Open Office gibi her türlü içeriği kapsamaya çalışarak dosya tarama ve şifreleme sürecini başlatır. belgeler, müzik dosyaları vb. Kötü amaçlı yazılım şifreleme işlemini tamamladıktan sonra, GDCB-DECRYPT.txt adlı bir metin dosyasında aşağıdaki fidye notu görüntülenirken kullanıcının şifrelenmiş dosyalara erişimi olmaz:

"= GANDCRAB =—
Dikkat!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli dosyalarınız şifrelenir ve şu uzantıya sahiptir: .GDCB
Dosyaları kurtarmanın tek yöntemi özel bir anahtar satın almaktır. Sunucumuzdadır ve dosyalarınızı sadece biz kurtarabiliriz.
Anahtarınızın bulunduğu sunucu kapalı bir ağ TOR'unda. Oraya aşağıdaki yollarla ulaşabilirsiniz:
1. Tor tarayıcıyı indirin – https://www.torproject.org/
2. Tor tarayıcıyı yükleyin
3. Tor Tarayıcıyı Açın
4. Bağlantıyı tor tarayıcısında açın: http://gdcbghvjyqy7jclk.onion/[id]
5. Bu sayfadaki talimatları izleyin
Sayfamızda ödeme talimatlarını görecek ve 1 dosyanın şifresini ücretsiz çözme fırsatı bulacaksınız.
TEHLİKELİ!
Dosyaları değiştirmeye veya kendi özel anahtarınızı kullanmaya çalışmayın - bu, verilerinizin sonsuza kadar kaybolmasına neden olur!"

Kullanıcı gerekli tüm adımları takip ederse, GandCrab şifre çözücü adlı bir web sayfasına gidecek ve burada bir şifre çözme aracı için yaklaşık 1.200 ABD Dolarına eşdeğer 1.54 DASH ödemek zorunda kalacaklarını okuyacaktır. Fidyenin gönderileceği ilgili DASH adresi de sağlanır. Kötü amaçlı yazılım web sitesi ayrıca kullanıcıyı güvenilirliğine ikna etmek için ücretsiz şifre çözme için bir dosya yükleme imkanı sunar ve ayrıca kullanıcı bir destek sohbetine erişim sağlar. Kötü amaçlı yazılım sahipleri de kurbanları korkutmak için fidyenin ödenmesi gereken belirli bir süreye işaret etmekte ve bu sürenin bitiminde dosyaları yok etmek veya talep edilen fidye miktarını artırmakla tehdit etmektedir. DASH'deki ödeme, kötü amaçlı yazılımın yalnızca birinci ve ikinci sürümleri için kabul edilebilir.

Kötü amaçlı yazılım araştırmacıları, verilerinizi kurtarmanın alternatif yolları olduğundan, siber suçluların kurallarına asla uymamanızı tavsiye eder. GandCrab fidye yazılımı, profesyonel temizleme araçlarıyla kaldırılabilirken, uzmanlar, uzman bir kullanıcı değilseniz, bilgisayarınızı kendi başınıza temizlemeyi denemenizi önermez. Bu tür gelişmiş fidye yazılımı tehditleri, işlemlerini ve dosyalarını meşru süreçler olarak gizleme yeteneğine sahiptir; bu, bazı kötü amaçlı nesneleri kaldırmaya çalışırken önemli bir sistem dosyasını kolayca sonlandırabileceğiniz anlamına gelir ve bu da bilgisayarınızda onarılamaz hasara yol açabilir. .

GandCrab v3 olarak bilinen üçüncü sürüm, daha güçlü şifreleme yöntemleriyle ve özellikle Ukrayna, Kazakistan, Beyaz Rusya ve Rusya gibi eski Sovyetler Birliği ülkelerindeki kullanıcıları hedef alan Nisan ayının sonunda ortaya çıktı. GandCrab v3, önceki sürümlerden bilinen RSA - 2048 şifreleme algoritmasına ek olarak, kişisel dosyaları ve diğer verileri kilitlemek için AES -256 (CBC modu) şifrelemesini de işler. Şifrelenmiş dosyalara .CRAB uzantısı verilirken, görüntülenen fidye notu oldukça tanıdık görünüyor. Ancak bu sürüm 1 ve 2'den farklı olarak DASH'de ödeme kabul etmez, kurbandan fidye miktarını Bitcoin olarak ödemesini ister. Bu sürüm aynı zamanda kullanıcının duvar kağıdını bir fidye notu olarak değiştirme yeteneğine de sahiptir, bu sayede masaüstü sürekli olarak duvar kağıdı ve fidye notu arasında geçiş yaparak kurbanı ayrıca korkutmak için. Bir başka yeni özellik de RunOnce otomatik çalıştırma kayıt defteri anahtarıdır:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\whtsxydcvmtC:\Documents and Settings\Administrator\Application Data\Microsoft\yrtbsc.exe

Sonraki GandCrab Sürümleri Yeni Gelişmiş Özelliklerle Geliyor

GandYengeç v4

Bu yılın Temmuz ayında, GandCrab v4 öncüllerini izledi. Fidye yazılımının bu sürümü şifrelenmiş dosyalara .KRAB uzantısı eklese de, AES-256 (CBC Modu) ve RSA - 2048 şifreleme algoritmalarından da yararlanır. Bu gelişmiş tehdit ayrıca, virüsten koruma programlarından algılanmayı önlemek için Küçük Şifreleme Algoritması (TEA) adı verilen hızlı ve verimli bir şifreleme algoritması kullanır.

Sürüm 4, yeni bir şifreleme algoritması da sunar. GandCrab v4, her dosyanın şifrelenmesi için kullanılan iki RSA anahtarı üretir - bir genel ve bir özel anahtar. Şifreleme prosedürü sırasında, kötü amaçlı yazılım her dosyayı özel olarak oluşturulmuş rastgele Salsa20 anahtarı ve daha sonra başlangıçta oluşturulan genel RSA anahtarıyla şifrelenen rastgele bir başlatma vektörü (IV) ile şifreler. Özel RSA anahtarı kayıt defterinde kalır ve kendisi başka bir Salsa20 anahtarı ve bir IV ile şifrelenir ve bunlar da kötü amaçlı yazılıma gömülü bir genel RSA anahtarıyla şifrelenir. Şifreleme işlemi tamamlandıktan sonra, 8 baytlık yeni bir alan dosya anahtarıyla ve IV, etkilenen dosyanın içeriğine eklenir, böylece boyutu artar. Bu karmaşık şifreleme yöntemi, GandCrab v4'ü çok güçlü kılar çünkü dosyaların şifresi, gömülü ortak anahtara karşılık gelen özel anahtar olmadan çözülemez. Ayrıca, fidye yazılımının virüslü bilgisayardaki tüm gölge hacmini silmesi ve böylece dosyaların bu mekanizma aracılığıyla kurtarılamamasından kaynaklanan ek bir komplikasyon da ortaya çıkar. Son olarak, GandCrab da kendini makineden siler. Bu sefer fidye notu KRAB - DECRYPT.txt ve CRAB - DECRYPT.txt adlı iki farklı dosyada yer alıyor.

Ardından, aşağıdaki GandCrab v4.1 sürümünün başka bir yeni özelliği daha vardır - bir C&C sunucusundan komut almak yerine bir ağ ile iletişim kurabilir. Fidye yazılımının bu sürümü ayrıca yayılmak için bir İnternet bağlantısı gerektirmez ve dağıtımı için SMB istismarını da kullanan Petya ve WannaCry virüslerine benzer şekilde SMB aktarım protokolünü kullanabileceğine dair spekülasyonlar olmuştur. Henüz böyle olmasa bile uzmanlar, GandCrab'ın bu özelliğinin kötü amaçlı yazılımın gelecek sürümlerinden bazılarında sunulabileceği konusunda uyarıyorlar, bu nedenle kullanıcılar mevcut tüm yamaları yüklediklerinden emin olmalıdır. Bu sürümdeki bir yenilik de, şifre çözme anahtarlarının saldırganların sunucusunda bulunması ve yalnızca siber suçlular tarafından erişilebilmesidir. Moveover, şifre çözme anahtarlarının yeniden kullanılamaması için virüslü her bilgisayar için özel olarak yeni bir anahtar oluşturulur. Aşağıdaki GandCrab v4.2'nin yeni bir özelliği, sanal makineleri tespit edebilen özel bir koddur; bu durumda kötü amaçlı yazılım faaliyetlerini durdurur.

GandCrab v4.1 için, hedeflenen sistemde özel bir dosya oluşturarak çalışan ve fidye yazılımını verilerin zaten şifrelenmiş olduğu konusunda kandıran bir aşı uygulaması geliştirildi. Aşı uygulaması çevrimiçi olarak mevcuttur, ancak yalnızca bu özel sürüm ve önceki sürümler için çalışır, ancak v4.1.2 ve sonraki sürümler için çalışmaz. Kötü amaçlı yazılım yaratıcıları, hileyi etkisiz hale getirmenin bir yolunu çabucak buldular - v4.2.1, aşıyı geliştiren şirkete birleştirilmiş bir mesaj ve bir saldırı için tasarlanmış bir kaynak kodu istismarına bağlantı ile Ağustos ayının başında ortaya çıktı. bu şirketin ürünü. Bu kod bir Visual Studio projesini temsil eder ve Rusça veriler içerir. Sürüm 4.3, v4.2.1 ile neredeyse aynı anda ortaya çıktı, ancak aynı zamanda birkaç değişiklik de yaptı. Değişikliklerden biri, her zaman düzgün çalışmadığı için sanal makine algılama kodunun kaldırılmış olmasıdır.

GandYengeç v5

GandCrab'ın en son sürümleri o tarihte Eylül ayında ortaya çıktı - GandCrab v5, GandCrab v5.0.1, v5.0.2 ve v5.0.4. Yeni özellikler, fidye yazılımının önceki sürümlerinde gözlemlendiği gibi önceden belirlenmiş olanlar yerine, şifrelenmiş dosyalar için rastgele oluşturulmuş 5 ila 10 harfli dosya uzantılarını kullanma yeteneğini içerir. Sürüm v5.0.2, her şifrelenmiş dosyaya dosya uzantısı olarak rastgele seçilmiş on harf eklerken, sonraki v5.0.4, rastgele 8 karakterlik bir dosya uzantısı kullanır. GandCrab v5, dosya adının şöyle göründüğü yeni bir fidye notu biçimine sahiptir: [randomly_generated_extension] - DECRYPT.html. Bazı eski sürümlerin aksine, HTML fidye notu yalnızca TOR tarayıcısının nasıl indirileceğini açıklarken, bilgisayar korsanlarının TOR ağında barındırılan ödeme sayfası, kullanıcının dosyalarına ne olduğuyla ilgili bilgilerin geri kalanını verir. Gerekli fidye, DASH veya Bitcoin cinsinden bir miktardır ve bu sefer 800 ila 2.400 ABD Dolarına eşdeğerdir.

v5.0.1'den sonraki sürümler, fidye notu için yine bir metin dosyası biçimi kullanır, ancak geri kalanı aynı kalır. GandCrab v5.0.1 fidye notu, [random_extension]-Decrypt.txt dosyası adlı bir dosyada bulunur ve TOR tarayıcısı aracılığıyla anonim iletişimin kullanılmasını gerektirir. Aşağıdakileri okur:

" —= GANDCRAB V5.0.1 =—
Dikkat!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli dosyalarınız şifrelenir ve şu uzantıya sahiptir:
Dosyaları kurtarmanın tek yöntemi benzersiz bir özel anahtar satın almaktır. Bu anahtarı size sadece biz verebiliriz ve dosyalarınızı sadece biz kurtarabiliriz.
Anahtarınızın bulunduğu sunucu kapalı bir ağ TOR'unda. Oraya aşağıdaki yollarla ulaşabilirsiniz:>
———————————————————————————->
• Tor tarayıcıyı indirin – https://www.torproject.org/
• Tor tarayıcıyı yükleyin
• Tor Tarayıcı'yı açın
• Bağlantıyı TOR tarayıcısında açın: http://gandcrabmfe6mnef.onion/e499c8afc4ba3647
• Bu sayfadaki talimatları izleyin
——————————————————————————————
Sayfamızda ödeme talimatlarını görecek ve 1 dosyanın şifresini ücretsiz olarak çözme fırsatı bulacaksınız.
DİKKAT!
VERİ ZARARLARINI ÖNLEMEK İÇİN:
* ŞİFRELİ DOSYALARI DEĞİŞTİRMEYİN
* AŞAĞIDAKİ VERİLERİ DEĞİŞTİRMEYİN"

Saldırganların TOR sayfasını ziyaret ederken, kurban aşağıdaki mesajı okur:

"Üzgünüz ama dosyalarınız şifrelendi!
Endişelenmeyin, tüm dosyalarınızı iade etmenize yardımcı olabiliriz!
Dosya decryptor fiyatı 2400 USD
2018-07-20 02:32:41 UTC'ye kadar ödeme yapılmazsa, dosyaların şifresini çözme maliyeti iki katına çıkar
Miktar ikiye katlandı!
Fiyatı ikiye katlamak için kalan süre:
—————————————————————————————
Sorun ne? GandCrab Şifre Çözücü Desteği Satın Alın 7/24 Şifre çözme testi yapın
—————————————————————————————
Lütfen javascript'i açın!!
Sorun ne?
Bilgisayarınıza GandCrab Ransomware bulaşmış. Dosyalarınız şifrelenmiştir ve kendi başınıza şifresini çözemezsiniz.
Ağda, muhtemelen şifre çözücüler ve üçüncü taraf yazılımlar bulabilirsiniz, ancak bu size yardımcı olmaz ve yalnızca dosyalarınızı şifresi çözülemez hale getirebilir.
Dosyalarımı geri almak için ne yapabilirim?
GandCrab Decryptor satın almalısınız. Bu yazılım, tüm şifrelenmiş dosyalarınızın şifresini çözmenize ve GandCrab Ransomware'i bilgisayarınızdan kaldırmanıza yardımcı olacaktır.
Güncel fiyat: 2,400,00 ABD doları. Ödeme olarak, kripto para birimi DASH veya Bitcoin'e ihtiyacınız var
Bana ne gibi garantiler verebilirsiniz?
Test şifre çözmeyi kullanabilir ve 1 dosyanın şifresini ücretsiz olarak çözebilirsiniz
Kripto para birimi nedir ve GandCrab Decryptor'ı nasıl satın alabilirim?
Google'da veya burada kripto para birimi hakkında daha fazla ayrıntı okuyabilirsiniz.
Ödeme olarak kredi kartı ile DASH veya Bitcoin almanız ve adresimize coin göndermeniz gerekmektedir.
Sana nasıl ödeme yapabilirim?
Kredi kartı kullanarak Bitcoin veya DASH satın almalısınız. Bunu yapabileceğiniz hizmetlere bağlantılar: Dash değişim listesi, Bitcoin değişim listesi
Ardından, ödeme sayfamıza gidin GandCrab Decryptor satın alın, ödeme yönteminizi seçin ve talimatları izleyin."

Kalıcılığını sağlamak ve Windows işletim sisteminin her önyüklemesinde kötü amaçlı komut dosyasının otomatik olarak çalışmasını sağlamak için v5.0.2, Windows kayıt defterine girişler ekler:

HKEY_CURRENT_USER\Denetim Masası\Uluslararası
HKEY_CURRENT_USER\Denetim Masası\Uluslararası\YerelAdı
HKEY_CURRENT_USER\Klavye Düzeni\Ön Yükleme
HKEY_CURRENT_USER\Klavye Düzeni\Ön Yükleme\1
HKEY_CURRENT_USER\Klavye Düzeni\Ön Yükleme\2
HKEY_CURRENT_USER\SOFTWARE\keys_data\veri
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\Sistem\CentralProcessor\0
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\Sistem\CentralProcessor\0\Identifier
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\Sistem\Merkeziİşlemci\0\İşlemciAdıDizesi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wbem\CIMOM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wbem\CIMOM\Günlük Dosyası Maksimum Boyutu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wbem\CIMOM\Logging
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\productName
HKEY_LOCAL_MACHINE\SOFTWARE\ex_data\veri
HKEY_LOCAL_MACHINE\SOFTWARE\ex_data\data\ext
HKEY_LOCAL_MACHINE\SOFTWARE\keys_data\veri
HKEY_LOCAL_MACHINE\SOFTWARE\keys_data\veri\özel
HKEY_LOCAL_MACHINE\SOFTWARE\keys_data\veri\genel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Domain

Fidye yazılımının bu sürümü, Windows işletim sisteminden tüm gölge birim kopyalarını silecek şekilde de programlanabilir. Bu komut aracılığıyla yapılır:

"→vssadmin.exe gölgeleri sil /tümü /Sessiz"

Bu komut yürütüldüğünde, bozuk verileri geri yüklemenin olası yollarından biri ortadan kaldırıldığı için dosyaların şifrelenmesi daha verimli hale gelir.

GandCrab 5.0.2 kötü amaçlı yük, kötü amaçlı yazılımdan koruma programları tarafından çeşitli adlar altında algılandı, bunlar arasında şunlar yer alıyor:

• Fidye.GandYengeç
• Trojan-Ransom.Win32.GandCrypt.fbd
• TR/AD.GandCrab.wizji
• Truva[Fidye]/Win32.GandCrypt
• Trojan-Ransom.Win32.GandCrypt.fbd
• Fidye:Win32/GandCrab.MTC!bit
• ML.Attribute.Yüksek Güven

GandCrab Fidye Yazılımı Dağıtım Kanalları

Spam E-Posta Kampanyaları

Siber güvenlik araştırmacıları, tehlikeli GandCrab fidye yazılımının çeşitli dağıtım yöntemlerini belirlediler. Bu kötü amaçlı yazılımın yayıldığı bilinen kanallardan biri, farklı adlara sahip göndericilerden gelen spam e-posta kampanyalarıdır. Bu durumda, siber suçlular, kötü niyetli e-postaların fatura, alışveriş makbuzu veya kullanıcıyı "daha fazla ayrıntı" için açması için kandırmaya yetecek kadar inandırıcı görünen diğer belgeler olarak gizlendiği sosyal mühendislik tekniklerine güveniyor. Geçmişteki bazı GandCrab spam kampanyalarından gelen e-postaların ortak noktası, adresin ikinci bölümünün @cdkconstruction.org olması ve konu satırının "Şubat Makbuzu- [Rastgele sayılar]" içermesidir. Kötü amaçlı yazılım genellikle bir PDF ekine gömülür ve mesajın gövdesinde "DOC ekli" yazıyor. Kullanıcı zararlı eklere tıkladığında sisteme bir .doc.file indirilir. Bu dosya daha sonra bir PowerShell betiği çalıştırır ve kötü amaçlı yazılımın bazı sürümlerinde "sct5.txt" adlı yeni bir yararlanma dosyası oluşturur. Ancak bu yararlanma dosyası, gerçek kötü amaçlı yazılım yükünü çalıştırmaz; bunun yerine, virüsün sisteme girdiği bir aracı ortam görevi görür. GandCrab v4.3, Güney Kore'de popüler olan bir sıkıştırılmış arşiv dosyası türü olan ".egg" dosyasının eklendiği spam e-postalar aracılığıyla da dağıtılmıştır. Bu yılın Ağustos ayında ilk kez tespit edilen bu kampanya, özellikle yazarların konu satırında, e-postaların gövdesinde ve ayrıca kötü amaçlı .egg dosya ekinin adı için Hangul'u kullanması nedeniyle Güney Kore'deki kullanıcıları hedefliyor. Bozuk mesajlar, alıcının suçlanması gereken bazı "e-ticaret ihlali" sorununun bir bildirimi olarak gizlendi. Potansiyel kurbanın dosyayı açması ve GandCrab fidye yazılımının çalıştırılması için açma işleminden sonra kalan iki dosyadan herhangi birini açması gerekir.

İstismar Kitleri

Araştırmacılar tarafından tespit edilen bir diğer dağıtım kanalı, bilgisayar korsanlarının daha önce Magniber fidye yazılımını Güney Kore'de yaymak için kullandığı Magnitude Exploit Kit'tir (Magnitude EK). Şimdiye kadar araştırmacılar, Magnitude EK'nin esas olarak GandCrab'ın ikinci versiyonunu yaymak için kullanıldığına inanıyorlar. Bu kit, kötü amaçlı yazılımın VBScript.Encode/JScript.Encode komut dosyalarıyla kodlandığı ve ardından doğrudan hedef bilgisayarın belleğine enjekte edildiği fidye yazılımını yürütmek için özel bir ateşsiz teknik sağlar. Yük yürütmesinin ardından, GandCrab explorer.exe dosyasına köklenir, zorunlu yeniden başlatmaya neden olur ve ardından dosyaları kilitleyen ve onlara .CRAB dosya uzantısını ekleyen şifreleyiciyi başlatır. GandCrab ayrıca, saldırganların RIG EK adlı başka bir istismar kiti kullandığı "Sorunsuz" olarak bilinen bozuk çevrimiçi reklamlara sahip bir kampanya aracılığıyla da dağıtıldı. Bu istismar kiti, şifreleme virüsünü bulaştırabileceği hedeflenen sistemlerdeki güvenlik açıklarını tespit eder. Ayrıca, bu kötü amaçlı yazılımın dağıtımı için GrandSoft EK adlı üçüncü bir istismar kitinin kullanıldığı da bilinmektedir. Ayrıca hedeflenen sistemlerdeki güvenlik açıklarını bulma ve kötüye kullanma yeteneğine de sahiptir. Eylül ayında keşfedilen Fallout adlı yeni Exploit Kit'in de GandCrab fidye yazılımını dağıttığı tespit edildi. Fallout, daha önce Nuclear olarak adlandırılan ve aktif olan bir istismar kitine çok benzeyen rutinleri takip eder. Fallout, kötü niyetli yükler sağlamak için iki güvenlik açığından yararlanır. Birincisi, Windows VBScript motorunda (CVE - 2018 - 8174) bir uzaktan kod yürütme hatasıdır; ikincisi, Adobe Flash'ta (CVE - 2018 - 4878) Fallout'un bir VBScript'ten yararlanamaması durumunda yararlandığı bir güvenlik açığıdır. Fallout, bu kusurlardan başarıyla yararlandıktan sonra, şifrelenmiş bir yükü almak için bir kabuk kodu üretir. Ardından, bu yükün şifresini çözer ve içine gömülü kodu yürütür. Bazı durumlarda, Fallout ayrıca belirli güvenlik süreçlerinin varlığını kontrol eden bir Truva Atı yükleyecek ve hedeflenen sistemde bunların olması durumunda başka bir işlem gerçekleştirmeyecek şekilde programlanabilir. GandCrab v5.0.1 için, Windows çekirdeğinde bulunan ve potansiyel saldırganların Adres Alanı Düzeni Rastgeleleştirme (ASLR) baypas alabilecekleri bilgileri almalarına olanak tanıyan CVE - 2018 - 0896 güvenlik açığından yararlandığı bilinmektedir. Saldırgan, hedeflenen makinede oturum açtığında özel olarak hazırlanmış bir uygulama çalıştırırsa bu güvenlik açığından yararlanılabilir. GandCrab v5.0.2 aynı yeteneğe sahip olabilir, ancak bu henüz doğrulanmadı.

Hizmet Olarak Fidye Yazılımı (RaaS)

Son olarak, GandCrab, Rus yer altı bilgisayar korsanlığı forumlarında 7/24 teknik desteğe sahip bir Hizmet Olarak Fidye Yazılımı (RaaS) olarak da sunulmaktadır. Toplanan veriler, kötü amaçlı yazılım geliştiricilerinin, katılan aktörlere, gelirlerin %60 ila %70'i arasında bir yerde kötü amaçlı yazılım geliştiricileri tarafından ödendiği GandCrab Ortaklık Programı nedeniyle 600.000 doların üzerinde fidye aldığını gösteriyor. Araştırmacılara göre, Ortaklık Programlarının 100 üyesi var ve bunların 80'i 700 farklı fidye yazılımı örneği yaydı ve virüslü bilgisayarın %70'inden fazlası ABD veya Birleşik Krallık'ta bulunuyor. Bu nedenle, uzmanlar başlangıçta GandCrab fidye yazılımını özellikle İngilizce konuşan kurbanları hedef alan bir tehdit olarak gördüler. Ancak kötü amaçlı yazılımın daha yeni sürümleri, Fransızca, Almanca, İtalyanca ve Japonca dahil olmak üzere birkaç ek dili destekledikleri için bu önermeyi aşmıştır.

GandCrab Ransomware’in Fidye Talebi

GandCrab Fidye Yazılımı, virüslü bilgisayarın Belge Kitaplığı'na ve virüslü bilgisayarın masaüstüne bırakılan 'GDCB-DECRYPT.txt' adlı bir metin dosyası biçiminde bir fidye notu gönderir. GandCrab Ransomware'in fidye notunun metni şöyle:

'—= GANDCRAB =—
Dikkat!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli dosyalarınız şifrelenir ve şu uzantıya sahiptir: .GDCB
Dosyaları kurtarmanın tek yöntemi özel bir anahtar satın almaktır. Sunucumuzdadır ve dosyalarınızı sadece biz kurtarabiliriz.
Anahtarınızın bulunduğu sunucu kapalı bir ağ TOR'unda. Oraya aşağıdaki yollarla ulaşabilirsiniz:
1. Tor tarayıcıyı indirin – h[tt]ps://www.torproject[.]org/
2. Tor tarayıcıyı yükleyin
3. Tor Tarayıcıyı Açın
4. Bağlantıyı tor tarayıcısında açın: h[tt]ps://gdcbghvjyqy7jclk[.]onion/6361f798c4ba3647
5. Bu sayfadaki talimatları izleyin
Tor/Tor tarayıcı ülkenizde kilitliyse veya yükleyemiyorsanız, normal tarayıcınızda aşağıdaki bağlantılardan birini açın:
1.h[tt]ps://gdcbghvjyqy7jclk.onion[.]top/6361f798c4ba3647
2. h[tt]ps://gdcbghvjyqy7jclk.onion[.]casa/6361f798c4ba3647
3. h[tt]ps://gdcbghvjyqy7jclk.onion[.]guide/6361f798c4ba3647
4. h[tt]ps://gdcbghvjyqy7jclk.onion[.]rip/6361f798c4ba3647
5. h[tt]ps://gdcbghvjyqy7jclk.onion[.]plus/6361f798c4ba3647
Sayfamızda ödeme talimatlarını görecek ve 1 dosyanın şifresini ücretsiz olarak çözme fırsatı bulacaksınız.
TEHLİKELİ!
Dosyaları değiştirmeye veya kendi özel anahtarınızı kullanmaya çalışmayın – bu, verilerinizin sonsuza kadar kaybolmasına neden olur!'

Saldırının kurbanları GandCrab Ransomware ile ilişkili etki alanına bağlanmaya çalıştığında, aşağıdaki mesaj ve metin görüntülenecektir:

'Hoşgeldiniz!
ÜZGÜNÜZ, AMA TÜM DOSYALARINIZ ŞİFRELENDİ!
BİLDİĞİMİZ KADARIYLA:
ülke
işletim sistemi
bilgisayar kullanıcısı
Bilgisayar Adı
PC Grubu
Bilgisayar Dili.
HDD
şifreleme tarihi
Dosyalarınızın miktarı
Dosyalarınızın hacmi
Ama merak etmeyin, tüm dosyalarınızı geri verebilirsiniz! Sana yardım edebiliriz!
Aşağıda PC'nizden şifreli dosyanızdan birini seçip şifresini çözebilirsiniz, bu sizin için test şifre çözücüdür.
Ancak sadece 1 dosyanın şifresini ücretsiz olarak çözebiliriz.
DİKKAT! Üçüncü taraf şifre çözücü araçları kullanmayı denemeyin! Çünkü bu, dosyalarınızı yok edecek!
Ne istiyorsun?
GandCrab Decryptor'a ihtiyacınız var. Bu yazılım tüm şifrelenmiş dosyalarınızın şifresini çözecek ve GandCrab'i bilgisayarınızdan silecektir. Satın almak için kripto para birimi DASH'e ihtiyacınız var (1 DASH = 760.567$). Bu para birimini nasıl satın alacağınızı buradan okuyabilirsiniz.
Ne kadar para ödemeniz gerekiyor? Aşağıda belirtilen miktar ve ödeme için cüzdanımız
Fiyat: 1.5 DASH (1200 USD)'

GandCrab Ransomware'in fidye talebi, Bitcoin'den farklı olmayan bir kripto para birimi olan Dash'i kullanıyor. PC güvenlik araştırmacılarına, GandCrab Ransomware'in fidye notunun içeriğini görmezden gelmeleri şiddetle tavsiye edilir.

26 Ekim 2018 Güncellemesi — GandCrab 5.0.5 Fidye Yazılımı

GandCrab 5.0.5 Fidye Yazılımı, kötü amaçlı yazılım analistleri tarafından 2018 yılının Ekim ayının sonlarına doğru bildirilen GandCrab Fidye Yazılımının güncellenmiş bir sürümüdür. GandCrab 5.0.5 Fidye Yazılımının piyasaya sürülmesi, şifreleme sürecindeki değişiklikler ve Europol (Avrupa Birliği'nin kanun uygulama kurumu) ve siber güvenlik endüstrisindeki ortaklar tarafından ücretsiz bir şifre çözme aracının yayınlanmasından kısa bir süre sonra ortaya çıkması nedeniyle dikkate değerdir. Ücretsiz şifre çözücü, GandCrab ekibinin Suriye'deki 2017-2018 Suriye İç Savaşı'nda kaybedilen akrabalarının aile fotoğraflarını kurtarmak için yardım talep eden PC kullanıcılarına ücretsiz bir şifre çözücü yayınlaması sayesinde mümkün oldu. Kötü amaçlı yazılım araştırmacıları, GandCrab ekibi tarafından internete yüklenen koda dayalı bir araç geliştirmeyi başardı. Kısa bir test dönemi izledi ve Gand Crab v4 Ransomware'den etkilenen birçok PC kullanıcısı, Europol'den ücretsiz bir şifre çözücü indirebileceklerine dair bildirimler aldı.

Ne yazık ki siber güvenlik sektörünün ortak çabalarının başarısı kısa sürdü. Fidye yazılımı aktörleri, GandCrab 5.0.5 güncellemesini distribütörlerine gönderdi ve tehdit daha fazla kullanıcıyı tehlikeye atmayı başardı. GandCrab 5.0.5 sürümü, ücretsiz şifre çözücüyü geçersiz kılan yeni bir şifreleme talimatı kullanır. GandCrab v4'ten etkilenen dosyaları deşifre etmek için Europol aracını kullanmak mümkündür. Ancak, yeni GandCrab 5.0.5 Fidye Yazılımı, tersine mühendislik girişimlerine karşı savunmasızdır. GandCrab 5.0.5 Fidye Yazılımının dosya adlarına rastgele beş karakter eklediğini ve '[büyük harfli uzantı]-DECRYPT.txt' başlıklı bir fidye notu bıraktığını gördük. GandCrab 5.0.5'in kurbanlarından biri, dosyaların '.cyyjg' uzantısına sahip olduğunu bildirdi. Örneğin, 'Ristretto coffee.docx', 'Ristretto coffee.docx.cyyjg' olarak yeniden adlandırılır ve fidye notu masaüstüne 'CYYJG-DECRYPT.txt' olarak kaydedilir. Fidye notu, önceki sürümlere kıyasla birkaç değişiklik içeriyor. '[Büyük harfli uzantı]-DECRYPT.txt' içindeki metin şöyle görünebilir:

'---= GANDCRAB V5.0.5 =---
Dikkat!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli dosyalarınız şifrelenir ve şu uzantıya sahiptir: .ROTXKRY
Dosyaları kurtarmanın tek yöntemi benzersiz bir özel anahtar satın almaktır. Bu anahtarı size sadece biz verebiliriz ve dosyalarınızı sadece biz kurtarabiliriz.
Anahtarınızın bulunduğu sunucu kapalı bir ağ TOR'unda. Oraya aşağıdaki yollarla ulaşabilirsiniz:
---------------------------------
| 0. Tor tarayıcıyı indirin - hxxps://www.torproject[.]org/
| 1. Tor tarayıcıyı yükleyin
| 2. Tor Tarayıcıyı Açın
| 3. Bağlantıyı TOR tarayıcısında açın: hxxp://gandcrabmfe6mnef[.]onion/113737081e857d00
| 4. Bu sayfadaki talimatları izleyin
----------------------------------
Sayfamızda ödeme talimatlarını görecek ve 1 dosyanın şifresini ücretsiz olarak çözme fırsatı bulacaksınız.
DİKKAT!
VERİ ZARARLARINI ÖNLEMEK İÇİN:
* ŞİFRELİ DOSYALARI DEĞİŞTİRMEYİN
* AŞAĞIDAKİ VERİLERİ DEĞİŞTİRMEYİN
---GANDCRAB ANAHTARI BAŞLA---
[rastgele karakterler]
---GANDCRAB ANAHTARI SONLANDIRMA---

---PC VERİLERİNİ BAŞLAT---
[benzersiz tanımlayıcı]
---SON BİLGİSAYAR VERİLERİ---'

GandCrab 5.0.5 Fidye Yazılımı, bozuk Microsoft Word dosyaları, PDF'ler, kimlik avı sayfaları ve Mozilla Firefox ve Google Chrome'da kullanılan yazı tiplerinde yapılan sahte güncellemeler aracılığıyla dağıtılmaya devam ediyor. Daha önce belirtildiği gibi, GandCrab Fidye Yazılımı, Hizmet olarak Fidye Yazılımı platformu olarak çalıştırılır ve tehdit çeşitli biçimlerde yayılır. PC kullanıcılarının, doğrulanmamış konumlardan ve e-posta gönderenlerden gelen dosyalardan kaçınmaları ve korsan yazılım kullanmaktan kaçınmaları önerilir.

3 Aralık 2018 Güncellemesi — GandCrab 5.0.9 Fidye Yazılımı

3 Aralık 2018, 5.0.9 sürüm numarasını taşıyan GandCrab Ransomware için büyük bir güncellemeyi işaret ediyor. GandCrab 5.0.9 Fidye Yazılımının çekirdeği önceki sürümlerle aynıdır, ancak buna eklenen yeni işlevler vardır, yeni gizleme katmanları vardır ve tehdit, Bitcoin (BTC) ve Dashcoin (DASH) karşılığında şifre çözme hizmetleri sunar. GandCrab 5.0.9 Fidye Yazılımının, öncelikle zayıf uzaktan erişim korumasına sahip orta ölçekli şirketlere yönelik olduğuna inanılıyor. Yeni sürüm, virüslü her makine için rastgele oluşturulan özel bir dosya uzantısı eklemeye devam ediyor. Ayrıca, fidye notu, içinde şifrelenmiş veriler bulunan her klasöre bırakılır.

GandCrab 5.0.9 Fidye Yazılımı, düşük enfeksiyon oranına bakılırsa, yazı yazılırken test aşamasında olabilir. Çok fazla olay raporu yok, ancak araştırmalar GandCrab 5.0.9 Fidye Yazılımının 2019'un ilk aylarında baskın kripto tehdidi olarak ortaya çıkacağını tahmin ediyor. Şu anda GandCrab 5.0.9 Fidye Yazılımının '.wwzaf' uzantısını eklediği biliniyor ve dizinlere 'WWZAF-DECRYPT.txt' başlıklı bir mesaj bırakın. Örneğin, 'Horizon Zero Dawn-The Frozen Wilds.docx', 'Horizon Zero Dawn-The Frozen Wilds.docx.wwzaf' olarak yeniden adlandırıldı ve etkilenen kullanıcı, şifre çözme için 'WWZAF-DECRYPT.txt' içeriğini okumaya yönlendirildi. Talimatlar. Güvenliği ihlal edilmiş masaüstleri, ortasında aşağıdaki metnin bulunduğu siyah bir ekran olan yeni bir arka plan görüntüsü alır:

'GANDCRAB 5.0.9 TARAFINDAN ŞİFRELENMİŞTİR
DOSYALARINIZ YAZILIMLARIMIZ TARAFINDAN GÜÇLÜ KORUMA ALTINDADIR. GERİ YÜKLEMEK İÇİN DECRYPTOR SATIN ALMANIZ GEREKİR
Diğer adımlar için, her şifreli klasörde bulunan WWZAF-DECRYPT.txt dosyasını okuyun'

GandCrab 5.0.9 Fidye Yazılımı yeni bir fidye notu düzeni kullanır, ancak fidye ödemelerini doğrulamak için TOR Ağı'na güvenmeye devam eder. Yukarıda bahsedildiği gibi, Fidye Yazılım aktörleri artık 'WWZAF-DECRYPT.txt' bölümünde belirtildiği gibi Bitcoin ve Dashcoin ödemelerini kabul ediyor:

'---= GANDCRAB V5.0.9 =---
***HİÇBİR DURUMDA BU DOSYAYI TÜM VERİLERİNİZ KURTARILANA KADAR SİLMEYİN***
***BUNUN YAPILMAMASI, ŞİFRE HATALARI VARSA, SİSTEMİNİZİN BOZULMASINA NEDEN OLACAKTIR***
Dikkat!
Tüm dosyalarınız, belgeleriniz, fotoğraflarınız, veritabanlarınız ve diğer önemli dosyalarınız şifrelenir ve şu uzantıya sahiptir: .WWZAFDosyaları kurtarmanın tek yöntemi benzersiz bir özel anahtar satın almaktır. Bu anahtarı size sadece biz verebiliriz ve dosyalarınızı sadece biz kurtarabiliriz.
Anahtarınızın bulunduğu sunucu kapalı bir ağ TOR'unda. Oraya aşağıdaki yollarla ulaşabilirsiniz:
0. Tor tarayıcıyı indirin - hxxps://www.torproject.org/
1. Tor tarayıcıyı yükleyin
2. Tor Tarayıcıyı Açın
3. Bağlantıyı TOR tarayıcısında açın: h[tt]p://gandcrabmfe6mnef[.]onion/da9ad04e1e857d00
4. Bu sayfadaki talimatları izleyin
Sayfamızda ödeme talimatlarını görecek ve 1 dosyanın şifresini ücretsiz olarak çözme fırsatı bulacaksınız.
DİKKAT!
VERİ ZARARLARINI ÖNLEMEK İÇİN:
* ŞİFRELİ DOSYALARI DEĞİŞTİRMEYİN
* AŞAĞIDAKİ VERİLERİ DEĞİŞTİRMEYİN
---GANDCRAB ANAHTARI BAŞLA---
[rastgele karakterler]
---GANDCRAB ANAHTARI SONLANDIRMA---
---PC VERİLERİNİ BAŞLAT---
[rastgele karakterler]
---SON BİLGİSAYAR VERİLERİ---'

Yeni sürümün aktif sistem hesap adını okuduğu ve mağdurları ';)' başlıklı özel bir iletişim kutusuyla selamladığı ve 'Merhaba .' İletişim kutusu birkaç saniye görüntülenir ve ardından 'Çok yakında geri döneceğiz! ;).' Bu fidye yazılımı Truva atları gelişmeye devam ettikçe, GandCrab 5.0.9 Fidye Yazılımı ve benzeri siber tehditlere karşı tek güvenilir koruma hazırlık olmaya devam ediyor. Mümkün olduğunca sık veri yedeklemesi yapmayı ve istenmeyen e-postaları görmezden gelmeyi unutmayın. GandCrab 5.0.9 Fidye Yazılımı için algılama kuralları, aşağıdakilerle etiketlenen dosyalara işaret eder:

Generic.Ransom.GandCrab4.56F1503D
Ran-GandCrabv4!44C289E415E4
Ransom.Win32.GANDCRAB.SMK
Fidye:Win32/Gandcrab.AW!bit
TrojWare.Win32.Gandcrab.AA@7w10qu
Truva atı ( 0053d33d1 )
Trojan-Ransom.Win32.GandCrypt.fbd
Trojan.Encoder.26667
Trojan.Win32.Agent.142336.AE
Trojan.Win32.GandCrypt.4!c
Trojan.Win32.GandCrypt.fjrarj
Win32: MalOb-IF [Kript]

SpyHunter GandCrab Fidye Yazılımı'u Algılar ve Kaldırır