Шифровальщик Gandcrab требует выкуп в криптовалюте Dash

Исследователи ИБ обнаружили первый шифровальщик, который требует выкуп в криптовалюте DASH. Размещение командных серверов в доменах верхнего уровня .BIT позволяет операторам кампании оставаться в тени.
Первым о зловреде сообщил 17-летний ИБ-энтузиаст из Перу Дэвид Монтенегро (David Montenegro). Вымогатель распространяется через давно известный эксплойт-пак RIG, который использует сразу несколько уязвимостей для скрытой установки зловредного ПО. Чтобы доставить RIG на компьютер жертвы, злоумышленники применяют редиректор Seamless — в конце прошлого года он вошел в тройку самых распространенных в мире угроз.
После установки GandCrab обращается к удаленным командным серверам, которые расположены в доменной зоне .BIT. Это усложняет правоохранителям задачу по блокировке адресов. Имена серверов в основном совпадают с наименованиями известных веб-ресурсов и ИТ-компаний:
- bleepingcomputer.bit — по названию популярного ИБ-портала;
- nomoreransom.bit — сайт «Лаборатории Касперского», посвященный борьбе с шифровальщиками; 31 января Монтенегро сообщил, что домен освободился;
- esetnod32.bit — производитель антивирусного ПО;
- emsisoft.bit — производитель антивирусного ПО;
- gandcrab.bit.
Пока зловреду не удается установить соединение, он не трогает данные. Эксперты полагают, что командный центр передает GandCrab публичный ключ, который тот использует для дальнейших операций.
Перед тем как приступить к шифрованию, вымогатель останавливает активные процессы, в которых могут быть задействованы входящие в его интересы файлы — MS Excel, MS Word, Thunderbird, MySQL и прочие популярные программы. GandCrab блокирует документы по вшитому списку расширений, который включает в себя десятки позиций. По окончании процесса вредонос размещает на жестком диске множество документов GDCB-DECRYPT.txt с информацией для пользователя — «ваши данные зашифрованы, вы можете купить частный ключ на нашем сайте в сети Tor». Для пользователей, которые впервые видят это название, злоумышленники составили инструкцию по установке нужного браузера и даже подготовили список альтернативных адресов, если сеть заблокирована в стране жертвы.
На сайте вымогателей пользователь может бесплатно расшифровать один текстовый файл или картинку весом до 2 МБ. За остальные придется заплатить 1,54 DASH — чуть более 1000 долларов по курсу на момент публикации. Встроенный таймер отсчитывает время до двукратного увеличения суммы. Все вопросы жертва может задать в чате поддержки, который доступен на той же странице.
Аналитики отмечают, что злоумышленники используют DASH вместо более распространенных биткойна, Monero или Ethereum. Причиной может быть повышенный уровень приватности, который стал приоритетом при создании этой валюты.
На момент публикации специалистам еще не удалось найти способ расшифровки данных после атак GandCrab. Пользователям рекомендуется сделать резервные копии жесткого диска и проявлять осторожность в Интернете — не переходить по подозрительным ссылкам, не открывать вложения от незнакомых отправителей, использовать антивирусное ПО с функцией эвристического анализа.