Suriye'yi unutun, kırılmaz "Rogue Virus" Çin'e zarar vermeye başladı
Editörün notu: Bu makale, 36Kr stratejik işbirliği blok zinciri medyası "Odaily Planet Daily" (halka açık numara ID: o-daily, APP indirmesi)
("The Matrix" filminden fotoğraf)
Yazar | Qin Xiaofeng
Editör | Lu Xiaoming
Üretilen | Odaily Planet Günlük (ID: o-daily)
2017'de WannaCry Bitcoin fidye yazılımı, Çin dahil 150'den fazla ülkeye saldırarak 8 milyar ABD dolarının üzerinde kayba neden oldu. O zamandan beri, çeşitli fidye yazılımı türleri (NotPetya, Bad Rabbit, vb.) Sonsuz bir akışta ortaya çıkmasına rağmen, etki alanları her zaman sınırlı kaldı.
Son zamanlarda, GandCrab V5.2 adlı bir kripto para fidye yazılımı, WannaCry'nin "eski ihtişamını" yeniden ortaya çıkardığına dair işaretler gösteriyor gibi görünüyor ve Çin'deki binlerce hükümet ve kurumsal bilgisayara saldırdı.
Sözde fidye yazılımı bilgisayarınızı zehirlemeye, dahili dosyaları kilitlemeye ve kullanıcıların kilidini açmak için Bitcoin'de bir fidye ödemelerini gerektirmeye çalışıyor.
SlowMist ve DVP dahil birçok güvenlik ekibi Odaily Planet Daily'ye GandCrab V5.2'nin şu anda kırılmaz olduğunu ve sadece savunma için kullanılabileceğini söyledi.
GandCrab ekibi sadece çok yetenekli değil, aynı zamanda "akıllı hırsızlar": fidyeyi ödeme sözlerini tutarak "detoks yapıyor" ve "insanca" Suriye gibi savaştan zarar görmüş bölgeleri enfekte bölgeden hariç tutuyor, bu nedenle bir zamanlar "hırsızlar" olarak adlandırılıyordu. virüs. Ancak Çin ve Güney Kore'yi önemli hedefleri olarak görüyor. GandCrab'ın arkasındaki ekip de virüsün satışından 2,85 milyon ABD doları kazandı.
Son yıllarda kripto para birimlerine yönelik saldırılar arttı ve blok zinciri güvenlik olayları sık sık meydana geldi. Fidye yazılımına ek olarak, kötü amaçlı madencilik de zayıflık gösterme konusunda isteksizdir. 2017'deki saldırıların ağırlıklı olarak "fidye yazılımı" olduğunu ve 2018'deki saldırıların daha çok "kötü amaçlı madencilik" olduğunu söylersek. Şimdi, fidye yazılımı tekrar geri dönüş yapacak mı?
Binlerce devlet ve kurumsal bilgisayara virüs bulaştı
Yeni Bitcoin fidye yazılımı virüsü yeniden şiddetleniyor.
Ulusal Ağ ve Bilgi Güvenliği Bilgi Bildirim Merkezi'nin izlenmesine göre GandCrab V5.2, 11 Mart 2019'dan beri Çin'de hükümetin, kuruluşların ve ilgili bilimsel araştırma kurumlarının binlerce bilgisayarına saldırıyor.
Hubei Eyaleti, Yichang Şehri, Yiling Bölgesi hükümeti, Çin Bilimler Akademisi Metal Araştırma Enstitüsü, Yunnan Normal Üniversitesi ve Dalian Kamu Güvenliği Bürosu ve diğer hükümetler, işletmeler ve üniversiteler, resmi web sitelerinde virüslerin saldırısına uğradığına dair duyurular yayınladılar.
(Yiling Bölge Hükümeti'nin resmi web sitesinin ekran görüntüsü)
Ağ güvenliği analisti David Montenegro'ya göre, GandCrab V5.2 fidye yazılımı virüsü binlerce Çin bilgisayarını etkiledi ve RDP ve VNC genişletilmiş saldırılar yoluyla Çin'de daha fazla bilgisayarı etkilemeye devam edecek.
Anlamı: Spam saldırısı
GandCrab V5.2 kurbanın bilgisayarını nasıl "zehirliyor"? Fidye yazılımının şu anda çoğunlukla posta yoluyla saldırıya uğradığı anlaşılmaktadır.
Saldırgan, kurbanın posta kutusuna "11 Mart saat 15: 00'da karakola bildirmelisiniz!" Konulu, gönderen "Min, Gap Ryong" ve e-posta eki "03" olan bir e-posta gönderecektir. -11-19.rar ".
(Tencent Security'den resim)
Kurban eki indirip açtığında, GandCrab V5.2, çalıştırdıktan sonra kullanıcının ana bilgisayar sabit disk verilerini tamamen şifreleyecek ve kurbanın Tor tarayıcısını indirmek için belirli bir web sitesini ziyaret etmesine izin verecek ve ardından Tor tarayıcısı aracılığıyla saldırganın şifreli para birimi ödeme penceresinde oturum açmasına izin verecektir. Kurbanın fidye ödemesini gerektirir.
DVP blockchain güvenlik ekibi, istenmeyen posta saldırılarına ek olarak GandCrab V5.2'nin "web sayfası asılı at saldırıları" da kullanabileceğine inanıyor. Yani, bazı yasa dışı web sitelerine Truva atı virüsleri yerleştirmenin yanı sıra, saldırgan nispeten zayıf koruma yeteneklerine sahip bazı normal web sitelerine de saldırabilir ve web sitesinin kontrolünü ele geçirdikten sonra web sitesinde oturum açan kullanıcılara saldırabilir.
Ayrıca virüs, CVE-2019-7238 (Nexus Repository Manager 3 uzaktan kod yürütme güvenlik açığı) ve yayılacak web mantığı güvenlik açıklarını kullanarak güvenlik açıkları yoluyla da yayılabilir.
"Saldırgan kurbanın bilgisayarındaki dosyaları geri alınamaz bir şekilde şifreler. Kilidi açmak için yalnızca saldırganın size belirli bir şifre çözme anahtarı vermesine güvenebilirsiniz." SlowMist güvenlik ekibi, kurbanın yalnızca ödeme yaparak belirli bir sırrı elde edebileceğini açıkladı. anahtar.
Ancak, bazen kurban parayı ödüyor ancak saldırgan anahtarın kilidini açmıyor SlowMist güvenlik ekibi, saldırganın ekibinin itibarının yargılama için bir temel olarak kullanılabileceğine inanıyor.
"Fidye yazılımı solucanının itibarı ne kadar yüksekse, size bir anahtar gönderme olasılığı o kadar artar. GandCrab karanlık ağda hala iyi tanınıyor ve iyi bir üne sahip." SlowMist güvenlik ekibi, "Bir özel anahtar göndermezseniz, itibarınız azalacak. Saldırılan artık para oynamayacak. "
"Anahtar, saldırganın kurban için bir iletişim kanalı sağlayıp sağlamadığını görmektir." DVP blok zinciri güvenlik ekibi Odaily Planet Daily'ye, kripto paranın anonimliği nedeniyle bir saldırganın kurbanın madeni para operasyonu gerçekleştirip gerçekleştirmediğini belirlemesinin zor olduğunu söyledi. İletişim kanalı yoksa saldırganın kurban bilgisayarın kilidini açma gibi bir niyeti yoktur.
Kırılmaz: Yüzeydeki en güçlü fidye yazılımı mı?
"Şu anda, onu doğrudan kırmanın bir yolu yok. Saldırı başarılı olduğunda, bilgisayarda önemli bilgiler varsa, yalnızca özel anahtarın kırılması için ödeme yapabilirsiniz." SlowMist ve DVP dahil birçok güvenlik ekibi Odaily Planet Daily'ye bunu söyledi. Virüs kırılamaz.
(Tieba ekran görüntüsü)
Ancak Odaily Planet Daily, bazı forumlarda GandCrab V5.2'yi kırabileceklerini iddia eden şirketlerin ödemenin kırılmadan önce yapılmış olması koşuluyla ortaya çıktığını buldu.
"Temelde hepsi dolandırıcı. Hepsi deri çanta şirketleri. Yetenekleri yok." Anonim bir blockchain güvenlik şirketi, "Tencent, 360 ve diğer şirketler bunu kıramaz. Onu kırabilirler mi?" Dedi.
Bazı ekipler veya bireyler GandCrab V5.2'nin kırılabileceğini iddia ediyor, ancak aslında bir 'ajan' kırıcıdır. SlowMist güvenlik ekibi, Paranızı toplarlar ve şantajcıyı şifreli para birimiyle ödemenize yardımcı olurlar, böylece şifre çözme anahtarını alırlar. (Kırık). "
Saldırganlar şiddetli bir şekilde geliyor, bir süre Truva atı virüsünü kıramıyor ve yalnızca savunma yapabiliyor. Yichang Şehrinin Yiling Bölge Hükümeti de aşağıdakiler dahil bazı karşı önlemler aldı:
-
Biri bilinmeyen kaynaklardan gelen e-posta eklerini açmamaktır;
-
İkincisi, ana akım antivirüs yazılımını zamanında kurmak, virüs veritabanını yükseltmek ve ilgili sistemlerde kapsamlı bir tarama yapmaktır;
-
Üçüncüsü, Windows'ta U diskinin otomatik çalıştırma işlevini devre dışı bırakmaktır;
-
Dördüncüsü, virüslerin güvenlik açıklarından yararlanarak yayılmasını önlemek için işletim sistemi güvenlik yamalarını derhal yükseltmek, Web'i, veritabanını ve diğer hizmet programlarını yükseltmektir;
-
Beşincisi, virüsün yayılmasını önlemek için virüslü ana bilgisayarın veya sunucunun bağlantısını kesmek için önlemler almaktır.
Ancak SlowMist güvenlik ekibi, Windows olmayan işletim sistemlerine şimdilik virüs bulaşmayacağına dikkat çekti. "GandCrab V5.2 solucanı şu anda yalnızca Windows üzerinde çalışıyor ve diğer sistemler mevcut değil."
"Sert" virüs aynı zamanda ekibi güvenlik çemberinde "küçük ve ünlü" yapar.
GandCrab fidye yazılımı Ocak 2018'de doğdu ve sonraki aylarda "yeni bir yıldız" oldu.
Ekibin etiketlerinden biri güçlü "teknik güçtür".
Bu yıl 19 Şubat'ta, Bitdefender Güvenlik Laboratuvarı uzmanları, GandCrab'ın kendisi tarafından verilen anahtara dayalı olarak, virüsün GandCrab V5.1'den önce tüm sürümleri için bir "panzehir" geliştirdi (nedeni daha sonra açıklanacak).
Bununla birlikte, yol bir ayak yüksekliğinde ve şeytan bir ayak yüksekliğinde. Zdnet raporlarına göre, bu yıl 18 Şubat'ta, Bitdefender'ın krakerin en son sürümünü yayınlamasından sadece bir gün önce, GrandCrab henüz kırılmamış olan öfkeli sürümü (V5.2) yayınladı.
Şu anda karanlık web'de, GrandCrab'ın arkasındaki ekip, bilgisayar korsanlarına V5.2 virüsü satmak için "hizmet olarak fidye yazılımı" ("hizmet olarak fidye yazılımı") kullanıyor. Yani, virüs GrandCrab ekibi tarafından sağlanır ve bilgisayar korsanları saldırmak ve şantaj yapmak için dünyanın dört bir yanındaki hedefleri seçer Saldırı başarılı olduktan sonra, GrandCrab ekibi bundan% 30-% 40 kâr çekecektir.
"Spam gönderenler, artık ağ uzmanlarıyla işbirliği yapabilirsiniz. Daha iyi bir yaşam için bileti kaçırmayın. Sizi bekliyoruz." Bu, GrandCrab ekibi tarafından karanlık web'de başlatılan "tüccar reklamı" dır.
GandCrab'ın Dash coinleri fidye için ilk fidye yazılımı olduğunu belirtmekte fayda var, daha sonra Bitcoin eklendi ve 499 dolara mal oldu. GandCrab ekibinin Aralık 2018'de yayınladığı verilere göre Bitcoin ve Dash coin'lerdeki toplam geliri 2,85 milyon USD oldu.
(GandCrab gelir ekran görüntüsü)
"Hırsızlar da haklıdır" Rogue takımı?
Bu virüsün ekibi ayrıca "Grand Theft Auto" olarak etiketlenmiştir. Etiket, 2018'de meydana gelen "Suriye Anahtarı" olayından türetilmiştir.
16 Ekim 2018'de Jameel adlı Suriyeli bir baba yardım için Twitter'da paylaşımda bulundu. Jameel, bilgisayarına GandCrab V5.0.3 bulaştığını ve şifrelenmiş olduğunu iddia etti. 600 dolara kadar "fidye" ödeyemediği için savaşta öldürülen en küçük oğlunun fotoğrafını artık göremiyordu.
(Twitter ekran görüntüsü)
GandCrab fidye yazılımı virüs üreticisini gördükten sonra hemen bir özür diledi ve Suriyeli kullanıcılara virüs bulaştırma niyetinde olmadığını belirterek bazı Suriyeli virüs bulaşmış kişilerin şifre çözme anahtarlarını serbest bıraktı.
GandCrab ayrıca V5.0.5'i güncelledi ve Suriye'yi ve savaştan zarar gören diğer bölgeleri virüslü bölgelerin "beyaz listesine" ekledi. Ayrıca GandCrab, bilgisayar sisteminin Rusça kullandığını tespit ederse işgali durduracaktır. Bu nedenle güvenlik uzmanları, virüs yazarının Rus olduğundan şüphelenildiğini düşünüyor.
(Şantajcı özür diler)
Birden çok insan GandCrab hakkında "Hırsız" olarak adlandırılan iyi bir izlenim geliştirdi.
"GandCrab, dövüş sanatları romanlarında oldukça hırsız ve çalmanın yolları var." İsimsiz bir güvenlik görevlisi Odaily Planet Daily'ye "Ama öyle bile olsa, GandCrab'ın davranışının haklı olduğu söylenemez. Ne de olsa diğer ülkelerdeki insanları tedavi ediyor. Merhamet yok. "
Tencent'in güvenlik ekibinin istatistiklerine göre GandCrab'ın kurbanlarının çoğu Brezilya, Amerika Birleşik Devletleri, Hindistan, Endonezya ve Pakistan'da yoğunlaşmış durumda. Ayrıca GrandCrab V 5.2'nin kullandığı diller çoğunlukla Çince, İngilizce ve Korece olup, Çin'in saldırılarının önemli bir hedefi haline geldiğini göstermektedir.
(GrandCrab V 5.2 sürümü)
"Bir bilgisayar korsanı bir bölgedeki insanlara karşı bir şey hissetmiyorsa, kötülük yaparken bu bölgedeki insanların duygularını dikkate almaz." SlowMist güvenlik ekibi, "Bilgisayar korsanının bakış açısına göre Çin'in siber alanında çok para var, bu yüzden doğru Çin'in başlaması şaşırtıcı değil. "
