GandCrab вече e в комплект с Vidar Infostealer
Киберпрестъпниците зад GandCrab са добавили инфостийлъра Vidar в процеса на разпространение на рансъмуерното парче, което спомага за увеличаване на печалбите им чрез извличане на чувствителна информация преди криптиране на компютърните файлове.
Следвайки следите от кампания за злоупотреба, насочена към потребители на торент тракери и уебсайтове за видео стрийминг, изследователите на злонамерен софтуер установиха, че Fallout Exploit Kit е бил използван за разпространение на сравнително нов инфостийлър, наречен Vidar, който се е удвоил по обем като изтеглящ инструмент за GandCrab.
Използвайки нелоялна рекламна област в сайта, заплахата извършва геолокация на посетителите на компрометираните уебсайтове и ги пренасочва към комплект за експлоатация (EK).
Fallout е най-активният, казва Джером Сегура, добавяйки, че той е избутал Vidar – търговска заплаха за $ 700, специално създадена за кражба на пароли и формуляри от уеб браузърите.
Тази заплаха може да бъде конфигурирана да взема конкретна информация, като номера на платежни карти или идентификационни данни, съхранявани в различни приложения. Разглежданият от Сегура вариант включваше възможности за изтриване на детайли от „впечатляващ набор дигитални портфейли“.
Веднъж стартиран, Vidar започва да събира специфицираната в заданието информация и да я изпраща към командния и контролен сървър във формата на zip архивни файлове. Интерфейсът е толкова лесен и удобен, че е детска игра за контролиращите да запазят следите на атаките и да поддържат връзка с инфектираните устройства в реално време, включително и да подават на малуера различни нови инструкции и команди.
Vidar може да работи като спусък за злонамерен софтуер и в случая, наблюдаван от Джером Сегура, вторият полезен товар е бил рансъмуерът на GandCrab.
„След около минута след първоначалната инфекция на Видар, файловете на жертвата ще бъдат криптирани, а тапетът им ще бъде премахнат, за да се покаже бележката за GandCrab версия 5.04.“
5.04 е последната версия на рансъмуера и в момента няма възможност за дешифриране на файловете, които криптира, без да се плаща откуп или получаване на ключа за дешифриране от автора на заплахата.
Потребителите, засегнати от по-ранни версии на рансъмуера, могат да възстановят файловете си с безплатен инструмент за декриптиране на GandCrab, който работи с v1, v4 и v5 до v5.02 на зловредния софтуер.
Пускането на крадец на информация преди разгръщането на рансъмуера осигурява пари за хакерите, дори ако жертвата не плати откупа. Дори киберпрестъпниците да не използват самите откраднати данни, те могат да ги продадат в deep net.
Потребителите с компютърни файлове, заключени от GandCrab, сега трябва да обмислят и промяна на комбинациите от потребителско име и парола поне за критичните услуги и приложения, които използват.
Ако искате да сведете до 0 опасността от инфостийлъри и криптиращи вируси, препоръчваме Ви да обмислите оборудването на Вашите машини с Adaptive Defense 360 на Panda Security. Продуктът съдържа модул за мониториране и диагностициране на всички стартирани процеси в системата и по този начин прави невъзможно инсталирането на зловреден софтуер.
Източник: По материали от интернет.