GrandCrab Ransomware V4.1.2 Tyveri Forhindret Med Salsa20-algoritme

2023 Forfatter: Kayla Nelson | [email protected]. Sist endret: 2023-07-30 23:17

GrandCrab Ransomware installerer seg i vertsdatasystemer gjennom forkledde online nedlastinger, mest angivelig i form av PDF-kvitteringer, og krypterer brukerens lokale datby som utfører.gdcb- og.crab-filene. Denne løsepenger er den mest utbredte skadelige programvaren i sitt slag, og den bruker Magnitude Exploit Kit for å spre seg til byttedyret. Den siste versjonen av GrandCrab Ransomware, versjon 4.1.2, har nylig blitt oppdaget, og før angrepene får fart, har det sørkoreanske cybersikkerhetsselskapet, AhnLab, replikert den heksadesimale strengen som blir utført på kompromitterte systemer av GrandCrab ransomware 4.1. 2, og selskapet har formulert det til å eksistere på upåvirkede systemer ufarlig, slik at når løsepenger kommer inn i systemet og kjører sin streng for å kryptere det, blir det lurt til å tro at datamaskinen allerede er kryptert og kompromittert (allerede infisert, visstnok) og så ransomware utfører ikke den samme krypteringen på nytt som vil doble kryptere og ødelegge filene helt.

Den heksadesimale strengen formulert av AhnLab oppretter unike heksadesimale ID-er for vertssystemene sine basert på detaljene til selve verten og Salsa20-algoritmen som brukes sammen. Salsa20 er strukturert streamsymmetrisk kryptering med 32 bytes nøkkelengde. Denne algoritmen har blitt observert som vellykket mot mange angrep, og har sjelden kompromittert vertsenhetene når de utsettes for ondsinnede hackere. Krypteren ble utviklet av Daniel J. Bernstein og sendt til eStream for utviklingsformål. Den er nå i bruk i AhnLabs GrandCrab Ransomware v4.1.2 kampmekanisme.

Den formulerte applikasjonen for å avverge GC v4.1.2 lagrer [hexadecimal-string].lock-filen på forskjellige steder basert på Windows-operativsystemet til verten. I Windows XP lagres applikasjonen i C: / Documents and Settings / All Users / Application Data. I nyere versjoner av Windows, Windows 7, 8 og 10 lagres applikasjonen i C: / ProgramData. På dette stadiet forventes applikasjonen kun å lure GrandCrab Ransomware v4.1.2. Det har ikke blitt testet mot eldre versjoner av ransomware ennå, men mange mistenker at hvis filer fra den nyere applikasjonen blir matchet med eldre ransomware-kampkoder, kan de bringes opp til nivå gjennom backporting og gjøres effektive når de kaster av angrep fra eldre versjoner av ransomware også. For å vurdere trusselen som denne løsepengeprogrammet utgjør, har Fortinet publisert grundig forskning om saken, og for å beskytte mot trusselen, har AhnLab gjort applikasjonen tilgjengelig for gratis nedlasting via følgende lenker: Link 1 & Link 2.