Эксперты по безопасности выявили новую, пятую по счету, версию распространенного шифровальщика-вымогателя GandCrab. Новая версия шифровальщика использует свежую уязвимость в Windows CVE-2018-8440 для заражения. После проникновения на компьютер жертвы вымогатель зашифрует все ценные файлы и потребует выкуп в размере от $800 до $2400 в криптовалюте DASH или Bitcoin.

Характерной внешней особенностью GandCrab5 является добавление пятисимвольного расширения к каждому зашифрованному файлу. Кроме этого, шифровальщик генерирует в системе HTML-сообщения с требованием выкупа, чье название имеет формат *****-DECRYPT.html, где вместо звездочек — те самые пять символов расширения.

Сообщение от злоумышленников предлагает установить браузер TOR и зайти на специальный сайт для выплаты выкупа. На этом сайте можно произвести "пробную расшифровку" одного файла, чтобы убедиться в том, что ключ дешифрования существует и работает. Далее жертве предлагается заплатить средства. На выполнение требований преступников жертве дано не более трех суток.

Что касается "ценных файлов", то GandCrab5 ищет и зашифровывает любые файлы, относящиеся к категориям аудио, видео, документы, изображения, резервные копии, архивы, банковские реквизиты. Еще одна проблема состоит в том, что вредонос активно ищет все доступные диски и хранилища в локальном сетевом окружении зараженного компьютера, и пытается зашифровать все данные и на них тоже.

Алгоритм шифрования, используемый GandCrab5, не подразумевает возможности дешифрования без ключа, находящегося в распоряжении злоумышленников. Некоторые исследователи указывают, что сейчас GandCrab5 использует алгоритм Salsa20, но полагают, что RSA-2048 и AES-256 также могут быть частью шифровального модуля нового GandCrab.

Все версии GandCrab использовали популярные наборы эксплойтов для заражения. Пятая версия эксплуатирует CVE-2018-8440, недавно обнаруженную и исправленную всего пару недель назад уязвимость класса "повышения привилегий", позволяющую запускать в системе произвольный код.

Методы распространения GandCrab5 остались прежними – через почтовые вложения, рассылаемые со спамом. В поле "Тема" большинства сообщений с шифровальщиком GandCrab во вложении будет присутствовать одна из нижеприведенных последовательностей: Document #{случайное число}, Invoice #{случайное число}, Order #{случайное число}, Payment #{случайное число}, Payment Invoice #{случайное число}, Payment Invoice #{случайное число}, Ticket #{случайное число}, Your Document #{случайное число}, Your Order #{случайное число}, Your Ticket #{случайное число}. По-видимому, в качестве главной цели злоумышленники выбрали юристов и бухгалтеров.

Для защиты данных эксперты рекомендуют выполнять следующие простые требования безопасности: пользоваться антивирусами с актуальной базой, вовремя устанавливать обновления операционной системы и важных программ, а также обязательно делать резервные копии данных.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бакапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бэкапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от сбоев и вирусов-шифровальщиков.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете кибер-преступность и ее развитие!