GrandCrab Ransomware v4.1.2. מעבדת Malwarebytes
GrandCrab Ransomware מתקין את עצמו במערכות מחשב מארחות באמצעות הורדות מקוונות מוסוות, על פי הדיווחים בצורה של קבלות PDF, ומצפין את הנתונים המקומיים של המשתמש על ידי ביצוע קבצי .gdcb ו- .crab שלו. תוכנת כופר זו היא התוכנה הזדונית הנפוצה ביותר מסוגה והיא משתמשת בערכת Magnitude Exploit כדי להתפשט לטרפה. הגרסה האחרונה של תוכנת הכופר GrandCrab, גרסה 4.1.2, התגלתה לאחרונה, ולפני שתקיפותיה תופסות תאוצה, חברת אבטחת סייבר דרום קוריאנית, AhnLab , שכפל את המחרוזת ההקסדצימאלית שמבוצעת במערכות שנפגעו על ידי תוכנת הכופר GrandCrab 4.1.2, והחברה ניסחה אותה להתקיים במערכות לא מושפעות באופן שאינו מזיק, כך שכאשר תוכנת הכופר נכנסת למערכת ומבצעת מחרוזת שלה כדי להצפין אותה, היא שולל לחשוב שהמחשב כבר מוצפן ונפגע (כבר נגוע, כביכול) ולכן תוכנת הכופר אינה מבצעת מחדש את אותה ההצפנה שתכפיל את ההצפנה ותשמיד את הקבצים לחלוטין.
מחרוזת ההקסדצימלי שנוסחה על ידי AhnLab יוצרת מזהי הקסדצימלי ייחודיים למערכות המארח שלה בהתבסס על פרטי המארח עצמו ואלגוריתם Salsa20 המשמש יחד. Salsa20 הוא צופן סימטרי זרם מובנה באורך מפתח של 32 בתים. אלגוריתם זה נצפה כמוצלח כנגד מספר רב של התקפות ולעתים נדירות פגע במכשירים המארחים שלו כשנחשף להאקרים זדוניים. הצופן פותח על ידי דניאל ג'יי ברנשטיין והועבר ל eStream למטרות התפתחות. הוא נמצא כעת בשימוש במנגנון הלחימה GrandCrab Ransomware v4.1.2 של AhnLab.
היישום המנוסח להפעלת GC v4.1.2 שומר את קובץ הנעילה [הקסדצימלי] שלו במיקומים שונים בהתבסס על מערכת ההפעלה Windows של המארח. ב- Windows XP היישום נשמר ב- C: Documents and Settings All Users Data Data. בגרסאות חדשות יותר של Windows, Windows 7, 8 ו- 10, היישום מאוחסן ב- C: ProgramData. בשלב זה, היישום צפוי רק להטעות בהצלחה את GrandCrab Ransomware v4.1.2. זה עדיין לא הועמד למבחן מול גרסאות ישנות יותר של תוכנות הכופר, אך רבים חושדים שאם קבצים מהיישום החדש יותר יתואמו לקודי לחימה ישנים יותר של תוכנות כופר, הם היו יכולים להיות גבוהים בשיעור הגב והיה יעילים לזריקת תקיפה. גם מגרסאות ישנות יותר של תוכנת הכופר. כדי להעריך את האיום שמהווה תוכנת כופר זו פורסם פורטינט ביסודיות מחקר בעניין, וכדי לשמור על האיום, AhnLab העמידה את היישום שלהם לרשות הורדה בחינם דרך הקישורים הבאים: קישור 1 & קישור 2 .
