勒索軟體GandCrab又出新版本了，開始使用.KRAB文件擴展名

「用指尖改變世界」

在上周末，GandCrab勒索軟體的開發者再一次推出了他們的最新版本——GandCrab V4。與之前的版本相比，新的版本出現了許多變化：不同的加密演算法、不同的文件擴展名（.KRAB）、不同的贖金票據名稱（KRAB-DECRYPT.txt）以及不同的TOR支付網站（gandcrabmfe6mnef[.]onion）。

根據一名推特用戶名為Fly的惡意軟體分析師的說法，這個最新版本的GandCrab勒索軟體正在通過虛假的破解軟體下載網站傳播。惡意行為者通過入侵某些合法網站，並建立自己的虛假博客，然後提供破解軟體下載。當不知情的受害者下載並執行了這些軟體時，GandCrab V4就會在他們的計算機上安裝。

另據Malwarebytes公司的安全研究員Marcelo Rivero提供的他對GandCrab v4的調試結果來看，這個勒索軟體似乎已經將其加密演算法切換為了Salsa20。

執行GandCrab V4時，它將掃描整個計算機和任何網路共享以尋找能夠被加密的目標文件。掃描網路共享時，它將枚舉網路上的所有共享，而不僅僅是映射驅動器。

當找到目標文件時，它將對其進行加密，然後在原文件名的後面附加.KRAB擴展名。例如，在名為test.doc的文件被加密後，其文件名將被重命名為test.doc.KRAB。

在加密文件時，它還會創建一個名為KRAB-DECRYPT.txt的贖金票據，其中包含都有哪些文件遭到加密、如何安裝Tor瀏覽器並連接到贖金支付網站以及其他一些注意事項等信息。

如果受害者訪問這個TOR支付網站，他們將看到贖金的金額以及如何支付以獲得GandCrab V4解密器的說明。

為了使受害者相信解密器真實有效，TOR支付網站還包含了一個實施聊天功能，並提示受害者可以向惡意行為者發送消息以免費解密一個文件。

這個於今年1月份才出現的勒索軟體在短短几個月里已經發布了多個不同的版本，並且成為第一個接受達世幣作為贖金支付的勒索軟體。再加上從今年2月份開始，被網路安全公司LMNTRIX的安全研究人員發現作為勒索軟體即服務在暗網提供，使得它迅速流行起來，同時也被認為是迄今為止最頂級的勒索軟體之一。

儘管在引起一些網路安全公司，甚至是執法機構的注意後，該勒索軟體依然活躍。並自今年4月份以來，開始利用漏洞利用工具包進行傳播。GandCrab v4的發布證明，該勒索軟體的開發者不僅沒有退出「戰場」的打算，而且還在持續不斷地引入新的技術，以使這款惡意軟體更具破壞力。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！