Программа-вымогатель Dash «GandCrab» распространяется через зараженные pdf-файлы

Появилась новая программа-вымогатель, заражающая компьютеры жертв посредством загрузки зараженных PDF-файлов. Перед тем, как углубиться в подробности, издание BTCManager напоминает всем читателям, что необходимо проявляет максимальную осторожность при загрузке PDF-файлов, полученных от неизвестных отправителей.

Что такое GandCrab?

Надвигающаяся угроза оказалась в центре внимания после того, как LMNTRIX, австралийская компания, занимающаяся информационной безопасностью, в феврале 2018 года опубликовала отчет, в котором утверждалось, что появился новый вирус-вымогатель, получивший название «GandCrab». Вирус распространяется по даркнету как средство вымогательства и инструмент для киберпреступников. Содержание рекламных материалов выполнено на русском языке, добавили специалисты по информационной безопасности.

Если сам термин программа-вымогатель еще не является звоном колокола, значит пришло время исследовать угрозу безопасности детальнее. Пока программа относительно нова, она представляет собой одну из наихудших форм вредоносного ПО, с которым вы рискуете столкнуться.

При заражении компьютера, программа-вымогатель шифрует содержимое дисков, делая его недоступным. Единственный способ, которым жертва может надеяться восстановить доступ к своему контенту — это заплатить выкуп преступникам.

Согласно отчету, сделанному компанией LMNTRIX, GandCrab сделан таким образом, что каждый может купить его онлайн в даркнете. Как только они его покупают, покупатель становится членом распределенной сети GandCrab. Все деньги, переданные жертвами вымогателей, затем разделяются между разработчиками и пользователями программы-вымогателя в соотношении 60:40. Тем не менее, у членов есть возможность увеличить свои доли до 70 процентов, если у них получится успешно заразить большее количество компьютеров.

Однако есть несколько условий для выполнения, прежде чем агенты могут начать работу. Чтобы использовать выкуп и заработать деньги, участники должны зарегистрироваться в сети и подать заявку. Кроме того, членам сети запрещается использовать программное обеспечение против пользователей из стран бывшего Советского Союза, включая Содружество Независимых Государств (СНГ).

Как работает GandCrab?

В отчете LMNTRIX говорится, что GandCrab использует наборы эксплойтов RIG и GrandSoft для распространения и атаки на целевые компьютеры. Данный случай несколько уникален, учитывая, что упомянутые комплекты эксплойтов традиционно ассоциируются с вредоносными программами для взлома, такими как трояны и майнеры криптовалют.

В прошлом не было сообщений о других программах-вымогателях, которые построены на основе наборов эксплойтов. Еще более удивительно, что для программы GandCrab использовались наборы эксплойтов, которые, как считалось ранее, уже вышли из употребления.

Среди прочего, в отчете компании LMNTRIX также утверждается, что серверы программы-вымогателя используют доменную зону .bit. Данная информация крайне важна, учитывая, что домен .bit не включен в традиционный перечень DNS-серверов ICANN, покупка доменов в этой зоне возможна только с использованием криптовалюты. По неофициальной информации используется криптовалюта Dash, которая является предпочтительным выбором в случаях, когда необходима более высокая анонимность.

Каждая монета Dash эквивалентна примерно 740 долларам США. Сумма выкупа в программе-вымогателе GandCrab составляет 1,5 токена, что примерно равняется 1100 долларов США. Если жертва не выплачивает выкуп в установленный срок, его сумма удваивается.