勒索软件是技术中第二流行的恶意软件。 仅在 Cryptojacking 恶意软件的背后,勒索软件具有巨大的破坏性,并会花费您所有的文件。 这就是为什么及时了解定期出现的新菌株至关重要的原因。 目前,GandCrab 是勒索软件的“王者”。
目录
蟹蟹V1
GandCrab 于 2018 年 1 月首次被发现,并被称为 GandCrab V1。 GandCrab V1 使用唯一密钥加密用户文件,并希望以 DASH 加密货币支付赎金。 GandCrab V1 在 RIG EK 和 GrandSoft EK 等漏洞利用工具包中分发。
GandCrab V1 将自身复制到“%appdata%Microsoft”文件夹中,然后将自身注入到系统进程 nslookup.exe 中。 当它进入系统后,它会找出机器的公共 IP,然后运行 nslookup 连接到 GandCrab 网络。
解密器于 2018 年 2 月底发布,结束了 GandCrab V1,但开发人员并没有就此止步。
蟹蟹V2
在 GandCrab V1 解密器发布一周后,勒索软件开发人员就释放了 GandCrab V2。 它使用了一种全新的加密算法,使解密器基本上无用。 加密文件现在将具有“.CRAB”文件扩展名和硬编码域为“ransomware.bit”和“zonealarm.bit”。
GandCrab V2 设法通过垃圾邮件传播,这发生在整个 3 月。
GandCrab V3
仅仅一个月后,GandCrab V3 就发布了。 它增加了将受感染 PC 的桌面壁纸更改为勒索字条的功能。 它会不断地在用户的背景和赎金记录之间切换。 它还实现了一个新的 RunOnce 自动运行注册表项。 反射加载程序 DLL 注入会引发感染。
蟹蟹V4
GandCrab V4 在 2018 年 7 月被发现的时间比之前的版本要长一些。GandCrab V4 再次使用了一种新的加密算法,称为微型加密算法 (TEA),以帮助避免检测。 众所周知,TEA 是可用的最快和最有效的加密算法之一。 加密文件现在也使用“.KRAB”文件扩展名,而不是“.CRAB”。 GandCrab V4 通过虚假软件破解站点传播。
GandCrab V5
GandCrab V5 于 2018 年 9 月被发现,并带来了许多“改进”。 其中最大的一点是,它现在对加密文件使用了随机的五个字符的文件扩展名,还附带了 HTML 赎金记录。
GandCrab V5 不仅会加密任何本地磁盘,还会寻找网络共享,并加密它可以得到的所有文件。
GandCrab V5 通过重定向到托管 Fallout 漏洞利用工具包的站点的恶意广告传播。
GandCrab V5 是 GandCrab 的最新版本,至少我们知道。
GandCrab 解密器
10 月,发布了适用于 GandCrab 版本 1、4 和 5 的解密器。它由 没有更多的赎金项目. 该工具由罗马尼亚警方、欧洲刑警组织和 Bitdefender 开发。
如果您的机器被 GandCrab V1、V4 或 V5 感染,请务必前往该网站并下载解密器。
目前,Bitdefender 已确认他们正在开发 V2 和 V3 的解密器。
GandCrab 的复杂性
GandCrab 如此多产的原因在于它不断发展。 虽然 Wannacry 等勒索软件最终被解密,但 GandCrab 的分裂性质使得一刀切的解决方案基本上是不可能的。 事实证明,我们仍在等待版本 2 和 3 的解密器。
值得庆幸的是,有一些组织,例如 No More Ransom 项目,正在努力为剩余的 GandCrab 版本找出一个解密器。 鉴于 GandCrab 背后的人有多活跃,只需要一个 V6 就可以开始另一场争夺解密它。
