O GetCrypt διασπείρεται μέσω καμπάνιας malvertising και του περιβόητου RIG Exploit Kit.
Συνοπτικά, όταν κάποιος χρήστης μπει σε κάποια ιστοσελίδα που δεν πρέπει να μπει, τότε γίνεται redirect σε άλλη σελίδα που περιέχει το εν λόγω exploit kit, το οποίο θα προσπαθήσει να εκμεταλλευτεί τυχόν κενά ασφαλείας του Η/Υ του θύματος. Αν τα καταφέρει, θα κατεβάσει και θα εγκαταστήσει τον GetCrypt.
Αφήνει απέξω χώρες της πρώην ΕΣΣΔ.
Μόλις εκτελεστεί το κακόβουλο λογισμικό, ο GetCrypt ελέγχει τις εγκατεστημένες γλώσσες των Windows.
Ουσιαστικά, κάνει έλεγχο για αυτές τις γλώσσες: Ukrainian, Belarusian, Russian και Kazakh και αν τις εντοπίσει, τερματίζει τη λειτουργία του και δεν κρυπτογραφεί τίποτα.
Ουσιαστικά, κάνει έλεγχο για αυτές τις γλώσσες: Ukrainian, Belarusian, Russian και Kazakh και αν τις εντοπίσει, τερματίζει τη λειτουργία του και δεν κρυπτογραφεί τίποτα.
Σε αντίθετη περίπτωση, η λειτουργία του προχωράει κανονικά.
Επόμενη ενέργειά του είναι να βρει το CPUID του Η/Υ μέσω του οποίου δημιουργεί 4 χαρακτήρες τους οποίους θα χρησιμοποιήσει σαν επέκταση στα κρυπτογραφημένα αρχεία.
Μετά, διαγράφει τα shadow copies μέσω της εντολής vssadmin.
***Να πούμε εδώ, ότι αν είχατε εφαρμόσει τον οδηγό επιβίωσης ενάντια στους Ransomware που έχουμε δημοσιεύσει εδώ και σχεδόν 2 χρόνια, δεν θα είχατε τέτοιο πρόβλημα, καθώς σας εξηγούμε πώς να κλείσετε την vssadmin***
Επόμενο βήμα,
σκανάρει τον Η/Υ για να βρει αρχεία και να τα κρυπτογραφήσει.
Αφήνει απ΄ έξω φακέλους συστήματος όπως \Windows, \Program Files κλπ.
σκανάρει τον Η/Υ για να βρει αρχεία και να τα κρυπτογραφήσει.
Αφήνει απ΄ έξω φακέλους συστήματος όπως \Windows, \Program Files κλπ.
Μόλις βρει αρχείο που τηρεί τις προϋποθέσεις του, χρησιμοποιεί Salsa20 και RSA-4096 και κρυπτογραφεί το αρχείο με την επέκταση που δημιούργησε προηγουμένως:
Φυσικά, αφήνει Ransom Note που λέγεται #DECRYPT MY FILE#.txt και είναι αυτό:
και αλλάζει το wallpaper του Η/Υ σε αυτό:
Τέλος, ψάχνει να κρυπτογραφήσει δικτυακούς δίσκους. Αν βρει κάποιον που είναι mounted, θα τον κρυπτογραφήσει και εκείνον.
Αν όχι, θα κάνει net scan και αν βρει κάποιο δίσκο, τότε θα προσπαθήσει να κάνει login χρησιμοποιώντας μέθοδο brute force, με έτοιμους συνδυασμούς username και password που έχει hardcoded:
Αν όχι, θα κάνει net scan και αν βρει κάποιο δίσκο, τότε θα προσπαθήσει να κάνει login χρησιμοποιώντας μέθοδο brute force, με έτοιμους συνδυασμούς username και password που έχει hardcoded:
Τα καλά νέα...
Έχουμε λύση!
Αν έχετε μολυνθεί, ελάτε σε επικοινωνία μαζί μας ή με την Emsisoft!