29/1/19

Προσοχή με τον GandCrab 5.1

ΟΙ ΕΞΟΔΟΙ ΚΙΝΔΥΝΟΥ ΚΡΥΒΟΥΝ ΜΠΕΛΑΔΕΣ...


O GandCrab 5.1 διασπείρεται με νέα καμπάνια malspam, η οποία προωθείται από τον ίδιο server ο οποίος μέχρι πρόσφατα προωθούσε το Ursnif banking trojan.

Δείτε πως λειτουργεί η καμπάνια.

Το υποψήφιο θύμα λαμβάνει ένα email το οποίο έχει επισυναπτόμενο ένα παγιδευμένο αρχείο Word. 
Το email έχει ως αποστολέα κάποια Rosie L. Ashton και θέμα "Up to date emergency exit map" και υποτίθεται ότι περιέχει τα σχέδια του κτιρίου του θύματος με τις εξόδους κινδύνου.




Αν ανοίξουμε το επισυναπτόμενο βλέπουμε αυτό:

δηλαδή μόνο τις λέξεις Emergency exit map και την προειδοποίηση ότι οι μακροεντολές είναι απενεργοποιημένες, με την προτροπή να τις ενεργοποιήσουμε.

Αν ενεργοποιήσουμε τις μακροεντολές, (ΚΑΤΙ ΠΟΥ ΔΕΝ ΘΑ ΠΡΕΠΕΙ ΠΟΤΕ ΝΑ ΚΑΝΕΤΕ, ΙΔΙΩΣ ΑΝ ΔΕΝ ΕΙΣΤΕ 10000% ΣΙΓΟΥΡΟΙ ΓΙΑ ΤΟ ΠΕΡΙΕΧΟΜΕΝΟ ΤΟΥ ΑΡΧΕΙΟΥ ΚΑΙ 1000000% ΣΙΓΟΥΡΟΙ ΓΙΑ ΤΟ ΤΙ ΚΑΝΕΤΕ)

τότε θα εκτελεστεί ένα powershell script το οποίο κατεβάζει και εγκαθιστά τον GandCrab 5.1.

Το σκριπτάκι είναι κωδικοποιημένο, έτσι ώστε να μην εξαρχής σαφές για το τι κάνει:




Αν το αποκωδικοποιήσουμε, θα δούμε ότι κατεβάζει ένα αρχείο που λέγεται putty.exe (που φυσικά δεν έχει καμία σχέση με το γνωστό putty) από τη διεύθυνση http://cameraista.com/olalala/putty.exe, το σώζει στο C:\Windows\temp\putty.exe και το εκτελεί:



Όταν εκτελεστεί το putty.exe, θα κρυπτογραφήσει όλα τα αρχεία του υπολογιστή:



και αφήνει σε κάθε φάκελο το αντίστοιχο Ransom Note



Δυστυχώς, δεν είναι δυνατή η αποκρυπτογράφηση του GandCrab 5.1.
Θα επαναλάβουμε πώς δεν πρέπει να ανοίγετε επισυναπτόμενα εκτός αν επιβεβαιώσετε ότι το email προοριζόταν για εσας ακόμα και αν ο αποστολέας είναι γνωστός σας, καθώς μπορεί να έχει μολυνθεί ή να πρόκειται για spoof.
Έχετε εγκατεστημένο και ανανεωμένο κάποιο καλό λογισμικό antivirus.

Διαβάστε τον οδηγό μας για την πρόληψη των Ransomware: https://northwind-data-recovery.blogspot.com/2017/03/odigos-apofigis-ransomware.html



Ευχαριστούμε την BleepingComputer για την παροχή υλικού.