GrandCrab Ransomware v4.1.2. Malwarebytes Lab
GrandCrab Ransomware installerar sig i värddatorsystem genom förklädda nedladdningar online, mest enligt uppgift i form av PDF-kvitton, och krypterar användarens lokala data genom att utföra dess .gdcb- och .crab-filer. Denna ransomware är den mest utbredda skadliga programvaran i sitt slag och den använder Magnitude Exploit Kit för att sprida sig till sitt byte. Den senaste versionen av GrandCrab Ransomware, version 4.1.2, har nyligen upptäckts och innan dess attacker får fart, ett sydkoreanskt cybersäkerhetsföretag, AhnLab , har replikerat den hexadecimala strängen som körs på komprometterade system av GrandCrab ransomware 4.1.2, och företaget har formulerat att den existerar på opåverkade system ofarligt så att när ransomware går in i ett system och kör sin sträng för att kryptera den, luras att tro att datorn redan är krypterad och komprometterad (redan infekterad, förmodligen) och så ransomware inte kör igen samma kryptering som skulle dubbla kryptera och förstöra filerna helt.
Den hexadecimala strängen som formulerats av AhnLab skapar unika hexadecimala ID: n för sina värdsystem baserat på detaljerna i värden själv och en Salsa20-algoritm som används tillsammans. Salsa20 är en strukturerad strömsymmetrisk chiffer med 32 bytes nyckellängd. Denna algoritm har observerats vara framgångsrik mot en mängd attacker och har sällan äventyrat sina värdenheter när de utsätts för skadliga hackare. Kodaren utvecklades av Daniel J. Bernstein och överlämnades till eStream för utvecklingsändamål. Den används nu i AhnLabs GrandCrab Ransomware v4.1.2-stridningsmekanism.
Den formulerade applikationen för att avvärja GC v4.1.2 sparar [hexadecimal-string] .lock-filen på olika platser baserat på Windows-operativsystemet för värden. I Windows XP sparas applikationen i C: Documents and Settings All Users Application Data. I nyare versioner av Windows, Windows 7, 8 och 10 lagras applikationen i C: ProgramData. I detta skede förväntas applikationen bara lyckas lura GrandCrab Ransomware v4.1.2. Det har inte testats mot äldre versioner av ransomware än, men många misstänker att om filer från den nyare applikationen matchas med äldre ransomware-stridskoder, skulle de kunna bringas i nivå genom backporting och göras effektiva för att kasta bort attackerade från äldre versioner av ransomware också. För att bedöma hotet som denna ransomware utgör, har Fortinet publicerat grundlig forskning för att skydda sig mot hotet har AhnLab gjort sin applikation tillgänglig för gratis nedladdning via följande länkar: Länk 1 & Länk 2 .
