GandCrab v4.1勒索软件发布,仍通过虚假破解软件下载网站传播

仅在GandCrab 4.0发布的两天之后,FortiGuard Labs的研究人员就发现了一个更新的版本(v4.1)。该版本仍使用相同方法传播,即将被攻陷的网站伪装成破解软件下载站点。

研究人员表示,GandCrab v4.1包含了一个非常长的硬编码列表,列表的内容是它所连接到的受感染的网站。在一个二进制文件中,这些网站的数量达到了近千个。

另外,为了生存每个网站的完整URL,GandCrab v4.1使用了伪随机算法从多组预定义词中进行选择。最终的URL采用以下格式(例如www.{host}.com/data/tmp/sokakeme.jpg)。

在成功连接到URL之后,GandCrab v4.1会向受感染网站发送经加密(以及base64编码)的受害者数据,其中包含如下受感染系统和GandCrab信息:

  • IP地址

  • 用户名

  • 主机名

  • 网络管区

  • 已安装的杀毒软件列表

  • 默认系统区域设置

  • 俄语键盘布局(0=Yes/1=No)

  • 操作系统

  • 处理器结构

  • 赎金ID({卷序列号的crc } {卷序列号})

  • 网络和本地驱动GandCrab 内部信息:

  • id

  • sub_id

  • version

  • action

研究人员指出,为了确保能够顺利对目标文件进行加密,GandCrab v4.1可能会杀死以下进程:

  • msftesql.exe

  • sqlagent.exe

  • sqlbrowser.exe

  • sqlwriter.exe

  • oracle.exe

  • ocssd.exe

  • dbsnmp.exe

  • synctime.exe

  • agntsvc.exe

  • isqlplussvc.exe

  • xfssvccon.exe

  • sqlservr.exe

  • mydesktopservice.exe

  • ocautoupds.exe

  • agntsvc.exe

  • agntsvc.exe

  • agntsvc.exe

  • encsvc.exe

  • firefoxconfig.exe

  • tbirdconfig.exe

  • mydesktopqos.exe

  • ocomm.exe

  • mysqld.exe

  • mysqld-nt.exe

  • mysqld-opt.exe

  • dbeng50.exe

  • sqbcoreservice.exe

  • excel.exe

  • infopath.exe

  • msaccess.exe

  • mspub.exe

  • onenote.exe

  • outlook.exe

  • powerpnt.exe

  • steam.exe

  • thebat.exe

  • thebat64.exe

  • thunderbird.exe

  • visio.exe

  • winword.exe

  • wordpad.exe

杀死这些进程允许加密例程成功的完成其目标,而不会出现任何不期望的中断。此外,这些目标文件类型通常包含对受害者有价值的数据,因此增加了受害者考虑付款以获取其文件的可能性。

标签: 勒索软件

作者:pig 来源:黑客视界 浏览量:544 时间: 2018-07-20

加入墨者学院可立即获得20墨币

可免费开启靶场环境

点击注册领取

已有账号,立即登录