
Исследователи в области безопасности из ESET обнаружили киберактивность относительно нового шифровальщика, получившего имя GandCrab. Особенность этого вредоноса заключается в маскировке под «кряки» для Counter Strike и Microsoft Office.
Эксперты утверждают, что вымогатель шифрует файлы 450 форматов. В настоящее время киберпреступники используют in-the-wild четыре разных версии GandCrab.
Вымогатель может собирать информацию о системе жертвы, среди которой будет IP-адрес, имя пользователя и имя компьютера.
Основная задача зловреда — зашифровать файлы на жестких, съемных и сетевых дисках. Вымогатель также удаляет все резервные копии и отображает пользователю записку, в которой оговаривается условия выкупа.
Среди шифруемых файлов могут быть и документы Microsoft Office, OpenOffice, PDF, и текстовые файлы, базы данных, фотографии, музыка и видео.
Распространяется GandCrab с помощью спама, также используется социальная инженерия.
Теперь немного о маскировке — новые модификации вредоноса успешно маскируются под программы для взлома легитимных приложений – всего более 2 000 файлов. В их числе – «кряки» для игр Minecraft, Counter Strike, StarCraft, офисных продуктов Adobe Acrobat, Adobe Flash, Microsoft Office, а также популярного антивирусного ПО, включая ESET NOD32.
В настоящее время восстановить зашифрованные данные невозможно. Исключение – наличие у жертвы резервных копий или заражение одной из ранних версий шифратора, для которых существуют инструменты расшифровки.