Всплеск активности шифратора GandCrab
Компания ESET сообщила о новой активности шифратора GandCrab, который научился маскироваться под «кряки» для взлома популярных программных продуктов и шифрует файлы 450 форматов.
Шифратор GandCrab появился в текущем году и уже вошел в пятерку наиболее распространенных семейств вымогателей, среди которых WannaCry и Crysis. С начала года выпущены и активно используются четыре версии вредоносной программы.
Попав в систему жертвы, GandCrab собирает информацию с устройства, включая имя компьютера, имя пользователя и IP-адрес. Далее он запускает процесс шифрования данных на жестких, съемных и сетевых дисках, удаляет резервные копии ОС и выводит на экран требование выкупа в криптовалюте.
GandCrab может шифровать файлы различных форматов, в том числе документы Microsoft Office, OpenOffice, PDF и текстовые файлы, базы данных, фотографии, музыку и видео – всего более 450 расширений.
В течение первых четырех месяцев 2018 г. операторы GandCrab использовали сравнительно немного способов распространения, прежде всего спам-рассылки. Более чем в 25% случаев применялась социальная инженерия. С мая ESET фиксирует рост активности GandCrab и новую стратегию его операторов: модификации шифратора успешно маскируются под программы для взлома легитимных приложений – всего более 2000 файлов. В их числе – «кряки» для игр Minecraft, Counter Strike, StarCraft, офисных продуктов Adobe Acrobat, Adobe Flash, Microsoft Office, а также популярного антивирусного ПО, включая ESET NOD32. Угроза преобладает в странах Латинской Америки.
В настоящее время, подчеркивают в ESET, восстановить зашифрованные данные невозможно, если только у жертвы нет резервных копий или если компьютер заражен одной из ранних версий шифратора, для которых существуют инструменты расшифровки.
ESET советует воздержаться от установки любых «кряков» и пиратских версий легитимных программных продуктов. Если заражение шифраторам произошло, платить вымогателям не рекомендуется, поскольку получение выкупа ни к чему их не обязывает.