GandCrab 5.1 распространяется под видом плана эвакуации

GandCrab 5.1 распространяется под видом плана эвакуации

Новую версию шифровальщика GandCrab обнаружили специалисты сайта My Online Security в ходе анализа спам-рассылки, якобы содержащей план аварийной эвакуации из здания.

По мнению исследователей, злоумышленники используют скомпрометированные DNS-серверы, чтобы скрыть реальный адрес отправителя и заставить жертву скачать и запустить вредоносное содержимое. Эксперты отмечают, что ранее те же спамеры распространяли банковский троян Ursnif.

В письме от имени некоей Рози Л. Эштон (Rosie L. Ashton), менеджера по недвижимости, злоумышленники призывают получателя ознакомиться с планом эвакуации из здания. К посланию может быть приложен документ Word или же ссылка для скачивания. Как отмечают ИБ-специалисты, в имени файла часть латинских букв заменена кириллическими аналогами, чтобы жертва видела понятное ей название, а спам-фильтры — лишь последовательность специальных символов.

После открытия вредоносный документ выводит подсказку на включение макросов для отображения его содержимого. Если жертва разрешит выполнение скриптов, внедренный в файл сценарий загрузит и запустит шифровальщик GandCrab версии 5.1. Новый штамм вымогателя ранее не попадал в ловушки исследователей, и пока неясно, чем он отличается от предыдущих релизов. Однако по словам Лоренса Абрамса (Lawrence Abrams) из издания Bleeping Computer, против зловреда эффективна «вакцина» авторства ИБ-специалиста Valthek.

Программа кодирует пользовательские файлы, добавляя к ним расширение, состоящее из последовательности случайных символов. Киберпреступники размещают требование о выкупе и инструкцию для жертвы в каждой папке инфицированного устройства. Как и ранее, мошенники предлагают пострадавшему перейти на сайт в сети TOR и обещают восстановить один файл бесплатно.

GandCrab распространяется по модели RaaS и в последнее время был замечен в кибератаках, за которыми стоят разные группировки и отдельные злоумышленники. В начале января этого года специалисты Malwarebytes обнаружили вредоносную кампанию, использующую эксплойт-пак Fallout, чтобы внедрить на компьютер шифровальщик в паре с похитителем информации Vidar. По свидетельству экспертов, мошенники загружали в систему GandCrab 5.0.4 после кражи сведений о цифровых кошельках, сохраненных паролях и других данных.

Источник: //threatpost.ru/new-gandcrab-version-delivered-via-emergency-exit-plan/30707/

Оставить комментарий

Оставить коментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *