ورژن ۳ باج افزار GandCrab نیز منتشر شد، با همان پسوند crab.

ورژن ۳ باج افزار GandCrab با کمی تغییرات نسبت به نسخه دوم این باج افزار منتشر شد. مهمترین تغییری که در این ویروس کامپیوتری به جز پس زمینه متفاوت دسکتاپ مشاهده می شود یک Autorun است که باعث می شود باج افزار به صورت خودکار وقتی کامپیوتر را دوباره روشن می کنید اجرا شود.

متاسفانه تا به امروز راهکاری برای کدگشایی رایگان این باج افزار ارائه نشده است. آنهایی که مایل هستند در مورد این باج افزار بحث و گفتگو کنند می توانند به انجمن باج افزار سایسک رفته و در آنجا عضو شده و مطالب خود را بازگو کنند.

این باج افزار از طریق کیت اکسپلویت و ایمیل اسپم در حال انتشار است. یکی از کارشناسان کمپانی مالوربایتز این باج افزار را اخیرا کشف کرده و می گوید که انتشار آن در حال گسترش است. ورژن های قبلی باج افزار گند کرب “GandCrab” در ایران بسیار شایع شده است و احتمال می رود که نمونه های جدید این ویروس باج گیر نیز در ایران منتشر شود.

باج افزار Gandcrab 1

شرکت فورتینت اعلام کرد این باج افزار از طریق ایمیل اسپم در حال انتشار است. این ایمیل اسپم دارای “Subject” موضوع “Order #65121” است و همچنین حاوی یک فایل ضمیمه با دانلودر VBS است که پس از کلیک برروی آن شروع به نصب GandCrab V3 می نماید.

باج افزار Gandcrab ورژن 3

تغییرات در باج افزار GandCrab ورژن ۳

مهمترین و بارزترین تغییراتی که در این نسخه از باج افزار رخ داده همانگونه که در بالا نیز گفته شد، Autorun هنگام دوباره فعال سازی کامپیوتر و عکس پیش زمینه آن است. پیام باج خواهی به صورت گذشته و به شکل فایلی به نام Crab-Decrypt.txt برای قربانی ارسال می شود و فایل ها نیز با همان پسوند CRAB. کدگذاری می شوند.

در این ورژن یک عکس پیش زمینه با کیفیت پایین برای قربانی نمایش داده می شود که در آن می گوید که فایل CRAB-DECRYPT.txt را بخوانید تا راه بازکردن یا همان رمزگشایی فایل هایتان را متوجه شوید. این پیش زمینه همانند عکس زیر می باشد.

باج افزار Gandcrab 3

 

متن باج خواهی نیز همانند متنی است که در پایین مشاهده می کنید :

 

باج افزار Gandcrab ورژن جدید

یک کلید autorun یک بار مصرف نیز ارائه شده است که باعث می شود وقتی که کاربر لاگین کرد GandCrab به صورت خودکار فعال شود. زمانی که این باج افزار نصب شد ابتدا فایل های کامپیوتر شما کدگذاری می کند، عکس پیش زمینه را نشان می دهد و سپس به صورت خودکار کامپیوتر شما را Reboot می کند. برای آن دسته از افرادی که از ویندوز ۷ استفاده می کنند مشکلی وجود دارد و آن این است که این autorun باعث می شود که مرورگر در وب سایت TOR باز شود و عکس پیش زمینه نیز نمایش داده شود اما دسکتاپ نمایش داده نمی شود.

کارشناسان شرکت فورتینت می گویند که این عمل در ویندوز ۷ احتمالا باگی در باج افزار است که باعث رفتار غلط و قفل شدن صفحه نمایش می شود. البته این رفتار تا حدی به نفع توزیع کنندگان این باج افزار است زیرا ترس بیشتری برای کاربر بوجود می آورند و به همین دلیل می توانند درخواست باج بیشتری برای رمزگشایی فایل هایشان داشته باشند.

همانطور که در عکس دستورالعمل می بینید این باج افزار به شما می گوید که ابتدا مرورگر TOR را نصب کنید و سپس وارد سایت Gandcrad2pie73et.onion شوید و راهکار بازگشایی فایل ها را در آنجا مشاهده کنید.

پیشنهاد ما به شما این است که برای رمزگشایی فایل هایتان هرگز باج پرداخت نکنید زیرا نه تنها از برگشت اطلاعات اطمینان نخواهید داشت بلکه این افراد مجرم را تشویق به اخاذی بیشتر می کنید. بهتر است که راهکارهای پیشگیری از باج افزار را انجام داده و از یک آنتی ویروس مناسب برای جلوگیری از این نوع ویروس ها استفاده کنید. همچنین برروی ایمیل های نا آشنا کلیک نکنید زیرا اغلب این باج افزارها از طریق ایمیل منتشر می شوند.

برای اینکه از آخرین اطلاعات مربوط به باج افزار ها و کلیدهای رایگان منتشر شده اطلاع حاصل کنید به انجمن باج افزار سایسک مراجعه کرده و همچنین بانک ابزار رمزگشایی باج افزار سایسک را نیز مطالعه نمایید.

آدرس انجمن باج افزار سایسک : https://cysec-co.com/ir/community/ransomware/

مرتبط : همه چیز در مورد باج افزار – پیش بینی، پیشگیری، شناسایی و پاسخ

منبع : BleepingComputer

 


ورژن ۳ باج افزار GandCrab نیز منتشر شد، با همان پسوند crab.


 

2 پاسخ
  1. behzad
    behzad says:

    سلام من سیستمم الوده شده به این باج افزار روی سیستم من بک دور یا روت کیتی ایجاد شده یا پورت خاصی باز میکنه




    0



    0
    پاسخ
    • icysec
      icysec says:

      با سلام

      سیستم شما دچار آسیب پذیری امنیتی بوده است و احتمالا از محصولات امنیتی مناسب نیز استفاده نکرده اید که دچار باج افزار شده اید. اصولا باج افزار باعث بک دور یا باز شدن پورت خاصی نمی شود.
      می توانید برای اینکه دوباره دچار نشوید از یک نرم افزار Patch Management مانند Ucheck استفاده کنید که به صورت خودکار وصله های جدید را آپدیت می کند.
      ایمیل های مشکوک را باز نکنید.
      نرم افزار ucheck را می توانید از صفحه زیر دانلود کنید
      https://cysec-co.com/ir/ucheck/




      1



      0
      پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *