GandCrab病毒

GandCrab勒索软件是一种恶意软件威胁，可以对受影响的计算机上的数据进行加密，并要求支付赎金以换取解密工具。该加密病毒于今年1月底首次出现，此后研究人员确定了GandCrab的几种不同版本，其中包括GDCB，GandCrab v2，GandCrab v3，GandCrab v4和GandCrab v5。该勒索软件的最新版本已于大约一个月前于2018年9月被发现。此勒索软件的功能和加密机制自首次出现以来就得到了发展-最初的三个版本使用RSA和AES加密算法来锁定受感染设备上的数据，版本4及更高版本使用了其他更复杂的密码，例如Salsa20。恶意软件研究人员认为，这样做主要是出于速度方面的考虑，因为Salsa20密码要快得多。选择要加密的文件的模式也已发展。原始版本已检查文件以针对文件扩展名的特定列表进行加密，而第二个及所有后续GandCrab版本则具有排除列表，并对未出现在该列表中的所有其他文件进行加密。所需赎金的数额也有所增加。

GandCrab主要通过垃圾邮件，漏洞利用工具包，伪造更新和破解的合法软件进行分发。所有GandCrab案例的一个特征是，该勒索软件向加密文件添加了特定的扩展名。根据文件的恶意软件感染计算机的类型，这些文件扩展名可以是.gdcb，.krab，.crab，.lock或5到10个随机字母的组合。 GandCrab的初始版本在代码中存在一个严重错误，该错误将解密密钥保留在受感染计算机的内存中，因此一家反恶意软件公司与Europol和罗马尼亚警察合作，迅速开发了一个解密器并免费提供在NoMoreRansom.org上下载。但是，几乎在此之后，恶意软件作者已经发布了已修复该缺陷的更新版本，以便解密器不再适用于所有后续版本。目前，尚无针对当前发行的GandCrab勒索软件的免费解密工具，因此用户在网上冲浪或打开电子邮件时应格外小心。抵制勒索软件的最佳技巧可能是将所有有价值的数据备份到外部存储设备上。

GandCrab的前三个版本遵循基本例程

GandCrab渗透到系统后，它将立即开始文件扫描和加密过程，以存储在计算机上的最有价值的数据为目标，并尝试覆盖所有类型的内容，例如图像，照片，视频，数据库，档案，Microsoft Office / Open Office文档，音乐文件等。恶意软件完成加密过程后，用户将无法访问加密文件，而以下赎金记录显示在名为GDCB-DECRYPT.txt的文本文件中：

“ = GANDCRAB =-
注意！
您的所有文件文档，照片，数据库和其他重要文件均已加密，并具有扩展名：.GDCB
恢复文件的唯一方法是购买私钥。它在我们的服务器上，只有我们可以恢复您的文件。
带有密钥的服务器位于封闭的网络TOR中。您可以通过以下方式到达那里：
1.下载Tor浏览器– https://www.torproject.org/
2.安装Tor浏览器
3.打开Tor浏览器
4.在Tor浏览器中打开链接：http://gdcbghvjyqy7jclk.onion/[id]
5.按照此页面上的说明进行操作
在我们的页面上，您会看到付款说明，并有机会免费解密1个文件。
危险！
不要尝试修改文件或使用自己的私钥-这将导致您的数据永远丢失！”

如果用户按照所有必需的步骤操作，他们将进入一个名为GandCrab解密器的网页，在该网页上他们将看到，他们必须为解密工具支付1.54 DASH（约合1200美元）的费用。还提供了赎金应发送至的相应DASH地址。恶意软件网站还提供了上载一个文件以进行免费解密的可能性，以使用户确信其可靠性，此外，用户还可以访问支持聊天。为了恐吓受害者，恶意软件所有者还指出了应该支付赎金的特定期限，并威胁要在该期限到期后销毁文件或提高所要求的赎金数额。 DASH支付仅适用于第一版和第二版恶意软件。

恶意软件研究人员建议不要遵循网络犯罪分子的规则，因为有其他方法可以恢复您的数据。可以使用专业的删除工具删除GandCrab勒索软件，除非您是专家用户，否则专家建议您不要尝试自行清洁PC。这类勒索软件威胁能够将其操作和文件伪装成合法进程，这意味着您可以在试图删除某些恶意对象时轻松终止重要的系统文件，从而可能对计算机造成无法弥补的损害。 。

第三个版本称为GandCrab v3，它在4月底出现了更强大的加密方法，专门针对乌克兰，哈萨克斯坦，白俄罗斯和俄罗斯等前苏联国家的用户。除了先前版本中已知的RSA-2048加密算法外，GandCrab v3还提供AES -256（CBC模式）加密来锁定个人文件和其他数据。加密文件的扩展名为.CRAB，而所显示的赎金记录看起来很熟悉。与版本1和版本2不同，该版本不接受DASH支付，而是要求受害者以比特币支付赎金。此版本还具有将用户的墙纸更改为赎金票据的能力，从而使桌面在墙纸和赎金票据之间不断切换，以进一步恐吓受害者。另一个新功能是RunOnce自动运行注册表项：

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce \ whtsxydcvmtC：\ Documents and Settings \ Administrator \ Application Data \ Microsoft \ yrtbsc.exe

后续的GandCrab版本带有新的高级功能

GandCrab v4

今年7月，GandCrab v4紧随其前身。它也利用AES-256（CBC模式）和RSA-2048加密算法，尽管此版本的勒索软件将.KRAB扩展名添加到了加密文件中。这种高级威胁还使用一种称为Tiny Encryption Algorithm（TEA）的快速高效的加密算法来避免从反病毒程序中进行检测。

第4版也引入了新的加密算法。 GandCrab v4生成两个用于加密每个文件的RSA密钥-公共密钥和私有密钥。在加密过程中，恶意软件使用专门生成的随机Salsa20密钥和随机初始化向量（IV）对每个文件进行加密，然后使用开始时生成的公共RSA密钥对其进行加密。 RSA私钥保留在注册表中，并使用另一个Salsa20密钥和IV本身进行加密，然后又使用嵌入到恶意软件中的RSA公钥进行加密。加密过程完成后，将出现一个新的8字节字段使用文件密钥并将IV添加到受影响文件的内容中，从而增加了文件的大小。这种复杂的加密方法使GandCrab v4非常强大，因为如果没有与嵌入式公钥相对应的私钥，则无法解密文件。勒索软件会删除受感染计算机上的所有卷影，以致无法通过该机制恢复文件，这也使问题更加复杂。最后，GandCrab还将自己从计算机中删除。这次，赎金记录包含在两个不同的文件中，分别命名为KRAB-DECRYPT.txt和CRAB-DECRYPT.txt。

然后，以下GandCrab v4.1版本具有另一个新功能-它可以与网络通信，而不必从C＆C服务器接收命令。此版本的勒索软件也不需要Internet连接即可传播，并且有人猜测它可以使用SMB传输协议进行分发，类似于也使用SMB漏洞利用的Petya和WannaCry病毒。即使不是这种情况，专家警告说，GandCrab的此功能可能会在即将发布的恶意软件版本中引入，因此用户应确保已安装所有可用的补丁程序。此版本中的新功能是解密密钥位于攻击者的服务器上，并且只能由网络犯罪分子自己访问。此外，还会为每台受感染的计算机专门生成一个新密钥，以使解密密钥无法重复使用。以下GandCrab v4.2的新功能是一种特殊代码，能够检测虚拟机，在这种情况下，恶意软件会停止其运行。

对于GandCrab v4.1，已经开发了一种疫苗应用程序，它可以通过在目标系统上创建一个特殊文件来欺骗勒索软件，使该文件认为数据已经被加密了。疫苗应用程序可在线使用，但仅适用于此特定版本和之前的版本，不适用于v4.1.2和后续版本。恶意软件的创建者迅速找到了使该技巧失效的方法-v4.2.1于8月初出现，其中包含向开发疫苗的公司的合并消息，以及指向旨在攻击恶意软件的源代码利用程序的链接。该公司的产品。该代码代表一个Visual Studio项目，并且包含俄语数据。版本4.3与v4.2.1几乎同时出现，但也有一些更改。更改之一是虚拟机检测代码已删除，因为它并不总是能够正常运行。

GandCrab v5

GandCrab的最新版本于9月出现-GandCrab v5，GandCrab v5.0.1，v5.0.2和v5.0.4。新功能包括能够对加密文件使用随机生成的5到10个字母扩展名，而不是勒索软件先前版本中观察到的预定扩展名。 v5.0.2版向每个加密文件添加十个随机选择的字母作为文件扩展名，而后续的v5.0.4使用随机的8个字符文件扩展名。 GandCrab v5具有新的赎金记录格式，由此文件名如下所示：[randomly_genic_extension]-DECRYPT.html。与某些较旧的版本不同，HTML赎金注释仅说明了如何下载TOR浏览器，而托管在TOR网络上的黑客付款页面则提供了有关用户文件已发生事件的其余信息。所需的赎金是DASH或比特币的金额，这一次相当于800美元至2400美元。

v5.0.1及更高版本的版本再次将文本文件格式用于赎金记录，但其余部分保持不变。 GandCrab v5.0.1赎金票据包含在名为[random_extension] -Decrypt.txt的文件中，并且需要通过TOR浏览器使用匿名通信。它读取以下内容：

“ – = GANDCRAB V5.0.1 =-
注意！
您的所有文件，文档，照片，数据库和其他重要文件均已加密，并且具有以下扩展名：
恢复文件的唯一方法是购买唯一的私钥。只有我们才能为您提供此密钥，只有我们才能恢复您的文件。
带有密钥的服务器位于封闭的网络TOR中。您可以通过以下方式到达那里：
——————————————————————————————
•下载Tor浏览器– https://www.torproject.org/
•安装Tor浏览器
•打开Tor浏览器
•在TOR浏览器中打开链接：http://gandcrabmfe6mnef.onion/e499c8afc4ba3647
•按照此页面上的说明进行操作
——————————————————————————————
在我们的页面上，您会看到付款说明，并有机会免费解密1个文件。
注意！
为了防止数据损坏：
*请勿修改加密的文件
*不要更改下面的数据”

当访问攻击者的TOR页面时，受害者阅读以下消息：

“很抱歉，您的文件已加密！
不用担心，我们可以帮助您返回所有文件！
文件解密器的价格是2400美元
如果要到2018年7月20日02:32:41 UTC才付款，则解密文件的费用将增加一倍
金额翻倍！
剩余价格翻倍的时间：
——————————————————————————————
什么事？购买GandCrab Decryptor支持24/7测试解密
——————————————————————————————
请打开JavaScript！
什么事？
您的计算机已感染GandCrab勒索软件。您的文件已加密，不能自己解密。
在网络中，您可能会找到解密器和第三方软件，但它无济于事，只能使您的文件不可解密
我该怎么做才能取回文件？
您应该购买GandCrab解密器。该软件将帮助您解密所有加密的文件，并从PC中删除GandCrab Ransomware。
当前价格：2,400.00美元付款时，您需要加密货币DASH或比特币
你能给我什么保证？
您可以免费使用测试解密和解密1个文件
什么是加密货币，我如何购买GandCrab Decryptor？
您可以在Google或此处阅读有关加密货币的更多详细信息。
作为付款，您必须使用信用卡购买DASH或比特币，然后将硬币发送到我们的地址。
我该如何付款给您？
您必须使用信用卡购买比特币或DASH。链接到您可以执行的服务：短划线交换列表，比特币交换列表
之后，转到我们的付款页面“购买GandCrab解密器”，选择您的付款方式，然后按照说明进行操作。”

为了实现其持久性并确保其恶意脚本在Windows操作系统的每次启动时自动运行，v5.0.2将条目添加到Windows注册表中：

HKEY_CURRENT_USER \控制面板\国际
HKEY_CURRENT_USER \控制面板\国际\区域设置名称
HKEY_CURRENT_USER \键盘布局\预加载
HKEY_CURRENT_USER \键盘布局\预加载\ 1
HKEY_CURRENT_USER \键盘布局\预加载\ 2
HKEY_CURRENT_USER \ SOFTWARE \ keys_data \ data
HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ 0
HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ 0 \ Identifier
HKEY_LOCAL_MACHINE \ HARDWARE \ DESCRIPTION \ System \ CentralProcessor \ 0 \ ProcessorNameString
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM \ Log文件的最大大小
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Wbem \ CIMOM \ Logging
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ productName
HKEY_LOCAL_MACHINE \ SOFTWARE \ ex_data \ data
HKEY_LOCAL_MACHINE \ SOFTWARE \ ex_data \ data \ ext
HKEY_LOCAL_MACHINE \ SOFTWARE \ keys_data \ data
HKEY_LOCAL_MACHINE \ SOFTWARE \ keys_data \ data \ private
HKEY_LOCAL_MACHINE \ SOFTWARE \ keys_data \ data \ public
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ Tcpip \ Parameters \ Domain

还可以对该版本的勒索软件进行编程，以从Windows操作系统删除所有卷影副本。这是通过以下命令完成的：

“→vssadmin.exe删除阴影/全部/安静”

执行此命令后，文件加密将变得更加高效，因为消除了恢复损坏数据的一种可能方法。

GandCrab 5.0.2恶意有效载荷已被反恶意软件程序检测到各种不同的名称，其中包括：

• 赎金蟹
• Trojan-Ransom.Win32.GandCrypt.fbd
• TR / AD.GandCrab.wizji
• 木马[勒索] /Win32.GandCrypt
• Trojan-Ransom.Win32.GandCrypt.fbd
• 勒索：Win32 / GandCrab.MTC！bit
• ML.Attribute.HighConfidence

GandCrab勒索软件发行渠道

垃圾邮件运动

网络安全研究人员已经确定了分发危险GandCrab勒索软件的几种方法。这种恶意软件传播的已知渠道之一是来自具有不同名称的发件人的垃圾邮件活动。在这种情况下，网络罪犯依靠社会工程学技术，将恶意电子邮件伪装成发票，购物收据或其他听起来可信的文件，诱使用户打开它们以获取“更多详细信息”。过去的GandCrab垃圾邮件活动的电子邮件所共有的是，地址的第二部分是@ cdkconstruction.org，而主题行包含“ Receipt Feb- [Random number]”。通常，该恶意软件会嵌入PDF附件中，而消息正文中会显示“ DOC附件”。当用户单击恶意附件时，系统将下载一个.doc.file。然后，该文件运行PowerShell脚本并创建一个新的漏洞利用文件，在某些恶意软件的版本中，该文件名为“ sct5.txt”。但是，此漏洞利用文件不会运行实际的恶意软件有效负载；相反，它充当病毒进入系统内部的中介媒介。 GandCrab v4.3还通过带有附件“ .egg”文件的垃圾邮件发送，该文件是在韩国流行的一种压缩存档文件。该活动于今年8月首次检测到，它的目标用户是韩国用户，特别是因为作者在主题行，电子邮件正文以及恶意.egg文件附件的名称中使用了Hangul。损坏的消息已伪装成通知某些“电子商务违规”问题的通知，该问题被认为是收件人。潜在的受害者需要解压缩文件并打开解压缩后剩下的两个文件中的任何一个，以执行GandCrab勒索软件。

漏洞利用套件

研究人员发现的另一种分布渠道是Magnitude Exploit Kit（Magnitude EK），黑客以前曾在韩国散布Magniber勒索软件。到目前为止，研究人员认为，Magnitude EK主要用于传播GandCrab的第二版。该工具包提供了一种特殊的无需防火的技术来执行勒索软件，从而用VBScript.Encode / JScript.Encode脚本对恶意软件进行编码，然后直接注入目标计算机的内存中。执行有效负载后，GandCrab会根植到explorer.exe文件，强制重新启动，然后启动加密器，该加密器将锁定文件并向其添加.CRAB文件扩展名。 GandCrab还通过一个带有损坏的在线广告的活动进行了分发，该广告被称为“无缝”，攻击者使用了另一个名为RIG EK的漏洞利用工具包。该漏洞利用工具包可以检测目标系统中的漏洞，从而可以通过该漏洞引入加密病毒。还已知第三种利用工具包，即GrandSoft EK已被用于分发此恶意软件。它还能够发现和滥用目标系统中的安全漏洞。 9月发现的名为“辐射”的新漏洞利用工具包也被发现可以分发GandCrab勒索软件。辐射遵循的例程与以前称为“核”的漏洞利用工具包非常相似。辐射利用两个漏洞来提供恶意有效负载。第一个是Windows VBScript引擎中的远程代码执行错误（CVE-2018-8174）;第二个漏洞是Adobe Flash（CVE-2018-4878）中的安全漏洞，如果Fallout无法利用VBScript，Fallout会利用该漏洞。成功利用这些缺陷后，Fallout会生成一个Shellcode来检索加密的有效负载。然后，它解密该有效负载并执行嵌入其中的代码。在某些情况下，还可以对Fallout进行编程，以安装木马程序来检查特定安全进程的存在，并在目标系统上存在某些情况下不执行任何其他操作。对于GandCrab v5.0.1，已知它利用了Windows内核中的CVE-2018-0896漏洞，该漏洞使潜在的攻击者能够检索信息，从而可以通过这些信息获得地址空间布局随机化（ASLR）旁路。如果攻击者在目标计算机上登录后运行经过特殊设计的应用程序，则可以利用此漏洞。 GandCrab v5.0.2可能具有相同的功能，但是尚未得到证实。

勒索软件即服务（RaaS）

最后，GandCrab还作为俄罗斯勒索软件即服务（RaaS）提供了在俄罗斯地下黑客论坛上的24/7全天候技术支持。收集到的数据显示，由于GandCrab会员计划，该恶意软件的开发人员已经收到了超过60万美元的赎金，参与该行为的参与者已经由该恶意软件开发人员支付了大约60％至70％的收入。据研究人员称，会员计划有100个成员，其中80个已经传播了700个不同的勒索软件样本，其中超过70％的受感染计算机位于美国或英国。因此，专家最初认为GandCrab勒索软件是专门针对英语受害者的威胁。但是，由于该恶意软件的最新版本支持多种其他语言，包括法语，德语，意大利语和日语，因此已经超出了这一主张。

GandCrab勒索软件的勒索需求

GandCrab勒索软件将以名为“ GDCB-DECRYPT.txt”的文本文件的形式提供赎金记录，该文件将被放置在受感染计算机的文档库和受感染计算机的桌面上。 GandCrab勒索软件的赎金记录如下：

'-= GANDCRAB =-
注意！
您的所有文件文档，照片，数据库和其他重要文件均已加密，并具有扩展名：.GDCB
恢复文件的唯一方法是购买私钥。它在我们的服务器上，只有我们可以恢复您的文件。
带有密钥的服务器位于封闭的网络TOR中。您可以通过以下方式到达那里：
1.下载Tor浏览器– h [tt] ps：//www.torproject [。] org /
2.安装Tor浏览器
3.打开Tor浏览器
4.在Tor浏览器中打开链接：h [tt] ps：// gdcbghvjyqy7jclk [。] onion / 6361f798c4ba3647
5.按照此页面上的说明进行操作
如果Tor / Tor浏览器已在您的国家/地区锁定或无法安装，请在常规浏览器中打开以下链接之一：
1.h [tt] ps：//gdcbghvjyqy7jclk.onion [。] top / 6361f798c4ba3647
2. h [tt] ps：//gdcbghvjyqy7jclk.onion [。] casa / 6361f798c4ba3647
3. h [tt] ps：//gdcbghvjyqy7jclk.onion [。] guide / 6361f798c4ba3647
4. h [tt] ps：//gdcbghvjyqy7jclk.onion [。] rip / 6361f798c4ba3647
5. h [tt] ps：//gdcbghvjyqy7jclk.onion [。] plus / 6361f798c4ba3647
在我们的页面上，您会看到付款说明，并有机会免费解密1个文件。
危险！
不要尝试修改文件或使用您自己的私钥-这将导致您的数据永远丢失！

当攻击的受害者试图连接到与GandCrab Ransomware关联的域时，将显示以下消息和文本：

'欢迎！
我们感到遗憾，但您的所有文件已被加密！
据我们了解：
国家
操作系统
PC用户
个人电脑名称
个人电脑集团
PC Lang。
硬碟
加密日期
您的文件量
文件量
但是不用担心，您可以返回所有文件！我们能帮你！
在下面，您可以从PC中选择一个加密文件并将其解密，这是为您测试的解密器。
但是我们只能免费解密1个文件。
注意！不要尝试使用第三方解密器工具！因为这会破坏您的文件！
你需要什么？
您需要GandCrab解密器。该软件将解密所有加密的文件，并从您的PC中删除GandCrab。购买时，您需要加密货币DASH（1 DASH = 760.567 $）。如何购买这种货币，您可以在这里阅读。
您需要支付多少钱？下面是我们指定的金额和我们的付款钱包
价格：1.5 DASH（1200 USD）'

GandCrab勒索软件的赎金需求使用Dash，一种与比特币不同的加密货币。强烈建议PC安全研究人员忽略GandCrab Ransomware赎金记录的内容。

2018年10月26日更新— GandCrab 5.0.5勒索软件

GandCrab 5.0.5 Ransomware是GandCrab Ransomware的更新版本，恶意软件分析师在2018年10月底之前报告了该更新。 GandCrab 5.0.5勒索软件的发布是值得注意的，原因是加密过程发生了变化，并且事实是，Europol（欧盟执法机构）和网络安全行业的合作伙伴发布了免费解密工具后不久就出现了勒索软件。由于GandCrab团队向叙利亚的PC用户发布了免费的解密器，使得免费的解密器成为可能。叙利亚的PC用户恳求帮助恢复在2017-2018叙利亚内战中丧生的亲人的家庭照片。恶意软件研究人员设法根据GandCrab小组上载到Internet的代码开发了一种工具。随后经过了短暂的测试，许多受Gand Crab v4 Ransomware影响的PC用户收到了可以从Europol下载免费解密器的通知。

不幸的是，网络安全行业共同努力的成功是短暂的。勒索软件的参与者将GandCrab 5.0.5更新推向了发行商，这种威胁设法危及了更多用户。 GandCrab 5.0.5版本使用新的加密指令，使免费解密器过时了。可以使用Europol的仪器来解密受GandCrab v4影响的文件。但是，新的GandCrab 5.0.5勒索软件无法进行反向工程。我们已经看到GandCrab 5.0.5勒索软件在文件名上附加了五个随机字符，并删除了一个名为“ [大写扩展名] -DECRYPT.txt”的勒索字条。 GandCrab 5.0.5的受害者之一报告说文件带有'.cyyjg'扩展名。例如，将“ Ristretto coffee.docx”重命名为“ Ristretto coffee.docx.cyyjg”，并将赎金记录另存为“ CYYJG-DECRYPT.txt”。与早期版本相比，赎金记录包括几处更改。 “ [大写扩展名] -DECRYPT.txt”中的文本可能如下所示：

'--- = GANDCRAB V5.0.5 = ---
注意！
您的所有文件，文档，照片，数据库和其他重要文件均已加密，并且具有扩展名：.ROTXKRY
恢复文件的唯一方法是购买唯一的私钥。只有我们才能为您提供此密钥，只有我们才能恢复您的文件。
带有密钥的服务器位于封闭的网络TOR中。您可以通过以下方式到达那里：
---------------------------------
| 0.下载Tor浏览器-hxxps：//www.torproject [。] org /
| 1.安装Tor浏览器
| 2.打开Tor浏览器
| 3.在TOR浏览器中打开链接：hxxp：// gandcrabmfe6mnef [。] onion / 113737081e857d00
| 4.按照此页面上的说明进行操作
-------------------------------
在我们的页面上，您会看到付款说明，并有机会免费解密1个文件。
注意！
为了防止数据损坏：
*请勿修改加密的文件
*请勿更改以下数据
-开始手抓菜钥匙-
[随机字符]
---手杖钥匙---

---开始PC数据---
[唯一标识符]
---结束PC数据---'

GandCrab 5.0.5勒索软件继续通过损坏的Microsoft Word文件，PDF，网络钓鱼页面以及对Mozilla Firefox和Google Chrome中使用的字体的虚假更新进行分发。如前所述，GandCrab Ransomware作为Ransomware即服务平台运行，威胁以各种形式传播。鼓励PC用户避免来自未经验证的位置和电子邮件发件人的文件，并避免使用盗版软件。

更新2018年12月3日— GandCrab 5.0.9勒索

2018年12月3日是GandCrab Ransomware的重大更新，其版本号为5.0.9。 GandCrab 5.0.9勒索软件的核心与早期版本相同，但是增加了新功能，增加了新的混淆层，并且威胁提供了解密服务，以换取比特币（BTC）和达什币（DASH）。 GandCrab 5.0.9勒索软件被认为主要针对远程访问保护差的中型公司。新版本继续添加为每个受感染计算机随机生成的自定义文件扩展名。同样，赎金记录会放到每个带有加密数据的文件夹中。

从低感染率来看，撰写本文时，GandCrab 5.0.9 Ransomware可能处于测试阶段。事件报告不多，但研究推断，GandCrab 5.0.9勒索软件将在2019年的前几个月成为主要的加密威胁。目前，GandCrab 5.0.9 Ransomware附加了'.wwzaf'扩展名并将一条名为“ WWZAF-DECRYPT.txt”的消息拖放到目录中。例如，“地平线零黎明-冷冻的Wilds.docx”被重命名为“地平线零黎明-冷冻的Wilds.docx.wwzaf”，并指示受影响的用户读取“ WWZAF-DECRYPT.txt”的内容以进行解密说明。受损的桌面会收到一个新的背景图像，该图像是黑屏，中间带有以下文本：

由GANDCRAB 5.0.9加密
您的文件受到我们软件的严格保护。为了还原它，您必须购买解密器
有关更多步骤，请阅读每个加密文件夹中的WWZAF-DECRYPT.txt。

GandCrab 5.0.9勒索软件采用了新的勒索票据布局，但仍继续依赖TOR网络来验证勒索付款。如上所述，勒索软件参与者现在接受“ WWZAF-DECRYPT.txt”中指示的比特币和Dashcoin付款：

'--- = GANDCRAB V5.0.9 = ---
***在没有任何情况下，请不要删除此文件，直到您的所有数据都被恢复***
***如果这样做，将导致系统损坏，如果存在解密错误***
注意！
您的所有文件，文档，照片，数据库和其他重要文件均已加密，并且具有扩展名：.WWZAF恢复文件的唯一方法是购买唯一的私钥。只有我们才能为您提供此密钥，只有我们才能恢复您的文件。
带有密钥的服务器位于封闭的网络TOR中。您可以通过以下方式到达那里：
0.下载Tor浏览器-hxxps：//www.torproject.org/
1.安装Tor浏览器
2.打开Tor浏览器
3.在TOR浏览器中打开链接：h [tt] p：// gandcrabmfe6mnef [。] onion / da9ad04e1e857d00
4.按照此页面上的说明进行操作
在我们的页面上，您会看到付款说明，并有机会免费解密1个文件。
注意！
为了防止数据损坏：
*请勿修改加密的文件
*请勿更改以下数据
-开始手抓菜钥匙-
[随机字符]
---手杖钥匙---
---开始PC数据---
[随机字符]
---结束PC数据---'

观察到新版本将读取活动的系统帐户名，并通过一个标题为“;）”的自定义对话框向受害者打招呼，并显示“您好， 。”对话框将显示几秒钟，然后显示另一条对话框消息，“我们很快就会回来！ ;）。随着这些勒索软件木马的不断发展，针对GandCrab 5.0.9勒索软件和类似网络威胁的唯一可靠保护措施仍在准备中。请记住，要尽可能多地进行数据备份，而忽略垃圾邮件。 GandCrab 5.0.9 Ransomware的检测规则指向带有以下标签的文件：

通用赎罪金蟹4.56F1503D
Ran-GandCrabv4！44C289E415E4
Ransom.Win32.GANDCRAB.SMK
Ransom：Win32 / Gandcrab.AW！bit
TrojWare.Win32.Gandcrab.AA@7w10qu
木马（0053d33d1）
Trojan-Ransom.Win32.GandCrypt.fbd
Trojan.Encoder.26667
Trojan.Win32.Agent.142336.AE
Trojan.Win32.GandCrypt.4！c
Trojan.Win32.GandCrypt.fjrarj
Win32：MalOb-IF [Cryp]

SpyHunter 检测并删除 GandCrab病毒