GrandCrab Ransomware v4.1.2 Malwarebytes Lab
GrandCrab Ransomware ติดตั้งตัวเองลงในระบบคอมพิวเตอร์โฮสต์ผ่านการดาวน์โหลดออนไลน์ที่ปลอมตัวโดยรายงานส่วนใหญ่อยู่ในรูปของใบเสร็จ PDF และเข้ารหัสข้อมูลในเครื่องของผู้ใช้โดยเรียกใช้ไฟล์. gdcb และ. crb ransomware นี้เป็นมัลแวร์ที่แพร่หลายมากที่สุดและใช้ Magnitude Exploit Kit เพื่อแพร่กระจายไปยังเหยื่อ GrandCrab Ransomware เวอร์ชันล่าสุดคือเวอร์ชัน 4.1.2 เพิ่งถูกค้นพบและก่อนที่การโจมตีจะได้รับแรงผลักดัน บริษัท ด้านความปลอดภัยทางไซเบอร์ของเกาหลีใต้ AhnLab ได้จำลองสตริงเลขฐานสิบหกที่ดำเนินการบนระบบที่ถูกบุกรุกโดย GrandCrab ransomware 4.1.2 และ บริษัท ได้กำหนดให้มีอยู่ในระบบที่ไม่ได้รับผลกระทบโดยไม่เป็นอันตรายดังนั้นเมื่อ ransomware เข้าสู่ระบบและดำเนินการสตริงเพื่อเข้ารหัสมันก็คือ หลอกให้คิดว่าคอมพิวเตอร์ได้รับการเข้ารหัสและถูกบุกรุกแล้ว (คาดว่าจะติดไวรัสแล้ว) ดังนั้น ransomware จึงไม่ดำเนินการเข้ารหัสแบบเดิมซ้ำซึ่งจะเข้ารหัสสองครั้งและทำลายไฟล์ทั้งหมด
สตริงเลขฐานสิบหกที่กำหนดโดย AhnLab จะสร้างรหัสฐานสิบหกที่ไม่ซ้ำกันสำหรับระบบโฮสต์ตามรายละเอียดของโฮสต์เองและอัลกอริทึม Salsa20 ที่ใช้ร่วมกัน Salsa20 คือการเข้ารหัสแบบสมมาตรของสตรีมที่มีโครงสร้างซึ่งมีความยาวคีย์ 32 ไบต์ อัลกอริทึมนี้ได้รับการสังเกตว่าประสบความสำเร็จในการต่อต้านการโจมตีจำนวนมากและแทบไม่ได้บุกรุกอุปกรณ์โฮสต์เมื่อสัมผัสกับแฮกเกอร์ที่เป็นอันตราย การเข้ารหัสได้รับการพัฒนาโดย Daniel J. Bernstein และส่งไปยัง eStream เพื่อวัตถุประสงค์ในการพัฒนา ขณะนี้ถูกใช้ในกลไกการต่อสู้ GrandCrab Ransomware v4.1.2 ของ AhnLab แล้ว
แอปพลิเคชันที่กำหนดไว้สำหรับการปัดป้อง GC v4.1.2 จะบันทึกไฟล์ [hexadecimal-string] .lock ไว้ในตำแหน่งต่างๆตามระบบปฏิบัติการ Windows ของโฮสต์ ใน Windows XP แอปพลิเคชันจะถูกบันทึกไว้ใน C: Documents and Settings All Users Application Data ใน Windows เวอร์ชันใหม่กว่า Windows 7, 8 และ 10 แอปพลิเคชันจะถูกเก็บไว้ใน C: ProgramData ในขั้นตอนนี้แอปพลิเคชันคาดว่าจะสามารถหลอกลวง GrandCrab Ransomware v4.1.2 ได้สำเร็จเท่านั้น ยังไม่ได้รับการทดสอบกับ ransomware เวอร์ชันเก่า แต่หลายคนสงสัยว่าหากไฟล์จากแอปพลิเคชันรุ่นใหม่ตรงกับรหัสการต่อสู้ของแรนซัมแวร์รุ่นเก่าไฟล์เหล่านี้อาจถูกนำมาใช้มากเกินกว่าที่ตราไว้ผ่านการย้อนกลับและแสดงผลอย่างมีประสิทธิภาพในการกำจัดการโจมตี จาก ransomware เวอร์ชันเก่าด้วย เพื่อกำจัดภัยคุกคามที่แรนซัมแวร์นี้ก่อให้เกิด Fortinet ได้เผยแพร่อย่างละเอียด การวิจัย ในเรื่องนี้และเพื่อป้องกันจากภัยคุกคาม AhnLab ได้เปิดให้ดาวน์โหลดแอปพลิเคชันฟรีผ่านลิงค์ต่อไปนี้: ลิงค์ 1 & ลิงค์ 2 .
