Suriye'yi unutun, kırılmaz "Rogue Virus" Çin'e zarar vermeye başladı
2017'de WannaCry Bitcoin fidye yazılımı, Çin dahil 150'den fazla ülkeye saldırarak 8 milyar ABD dolarının üzerinde kayba neden oldu. O zamandan beri, çeşitli fidye yazılımı türleri (NotPetya, Bad Rabbit, vb.) Sonsuz bir akışta ortaya çıktı, ancak etki alanları her zaman sınırlı kaldı.
Yakın zamanda, GandCrab V5.2 adlı bir kripto para fidye yazılımı, WannaCry'nin "eski ihtişamını" yeniden ortaya çıkardığına dair işaretler gösteriyor gibi görünüyor ve Çin'deki binlerce hükümet ve şirket bilgisayarına saldırdı.
Sözde fidye yazılımı bilgisayarınızı zehirlemeye, dahili dosyaları kilitlemeye ve kullanıcıların kilidini açmak için şifreli para biriminde bir fidye ödemelerini istemeye çalışıyor.
SlowMist ve DVP de dahil olmak üzere birçok güvenlik ekibi Odaily Planet Daily'ye GandCrab V5.2'nin şu anda kırılamaz olduğunu ve sadece savunma için kullanılabileceğini söyledi.
GandCrab ekibi sadece çok yetenekli değil, aynı zamanda "akıllı hırsızlar": fidyeyi ödeme sözlerini tutarak "detoks yapıyor" ve "insanca" Suriye gibi savaştan zarar gören bölgeleri enfekte bölgeden dışladı, bu nedenle bir zamanlar "soyguncu" olarak adlandırıldı. virüs. Ancak Çin ve Güney Kore'yi önemli hedefleri olarak görüyor. GandCrab'ın arkasındaki ekip de virüsün satışından 2,85 milyon ABD doları kazandı.
Son yıllarda kripto para birimlerine yönelik saldırılar arttı ve blok zinciri güvenlik olayları sık sık meydana geldi. Fidye yazılımına ek olarak, kötü amaçlı madencilik de zayıflık gösterme konusunda isteksizdir. 2017'deki saldırıların ağırlıklı olarak "fidye yazılımı" olduğunu ve 2018'deki saldırıların daha çok "kötü amaçlı madencilik" olduğunu söylersek. Şimdi, fidye yazılımı tekrar geri dönüş yapacak mı?
Binlerce devlet ve kurumsal bilgisayara virüs bulaştı
Yeni Bitcoin fidye yazılımı virüsü yeniden yayılıyor.
Ulusal Ağ ve Bilgi Güvenliği Bilgi Bildirim Merkezi'nin izlenmesine göre GandCrab V5.2, 11 Mart 2019'dan beri Çin'de hükümetin, kuruluşların ve ilgili bilimsel araştırma kurumlarının binlerce bilgisayarına saldırıyor.
Hubei Eyaleti, Yichang Şehri, Yiling Bölgesi hükümeti, Çin Bilimler Akademisi Metal Araştırma Enstitüsü, Yunnan Normal Üniversitesi ve Dalian Kamu Güvenliği Bürosu ve diğer hükümetler, işletmeler ve üniversiteler, virüs saldırılarını önlemek için resmi web sitelerinde duyurular yayınladı.
(Yiling Bölge Hükümeti'nin resmi web sitesinin ekran görüntüsü)
Ağ güvenliği analisti David Montenegro'ya göre, GandCrab V5.2 fidye yazılımı virüsü binlerce Çin bilgisayarını etkiledi ve uzaktan saldırılar yoluyla Çin'de daha fazla bilgisayarı etkileyecek.
Anlamı: Spam saldırısı
GandCrab V5.2 kurbanın bilgisayarını nasıl "zehirliyor"? Şu anda fidye yazılımının çoğunlukla posta yoluyla saldırıya uğradığı anlaşılmaktadır.
Saldırgan, kurbanın posta kutusuna "11 Mart saat 15: 00'da karakola bildirmelisiniz!" Konulu, gönderen "Min, Gap Ryong" ve e-posta eki "03" olan bir e-posta gönderecektir. -11-19.rar ".
(Tencent Security'den resim)
Kurban eki indirip açtığında, GandCrab V5.2, çalıştırdıktan sonra kullanıcının ana bilgisayar sabit disk verilerini tamamen şifreleyecek ve kurbanın Tor tarayıcısını indirmek için belirli bir URL'yi ziyaret etmesine izin verecek ve ardından Tor tarayıcısı aracılığıyla saldırganın şifreli para birimi ödeme penceresinde oturum açmasına izin verecektir. , Kurbandan fidye ödemesini şart koşmak.
DVP blockchain güvenlik ekibi, istenmeyen posta saldırılarına ek olarak GandCrab V5.2'nin "web sayfası asılı at saldırıları" da kullanabileceğine inanıyor. Yani, bazı yasa dışı web sitelerine Truva atı virüsleri yerleştirmenin yanı sıra, saldırgan nispeten zayıf koruma yeteneklerine sahip bazı normal web sitelerine de saldırabilir ve web sitesinin kontrolünü ele geçirdikten sonra web sitesinde oturum açan kullanıcılara saldırabilir.
Ek olarak, virüs CVE-2019-7238'den yararlanarak güvenlik açıkları yoluyla da yayılabilir.
(Nexus Repository Manager 3 uzaktan kod yürütme güvenlik açığı) ve yayılacak web mantığı güvenlik açığı.
"Saldırgan, kurbanın bilgisayarındaki dosyaları geri döndürülemez bir şekilde şifreleyecektir. Kilidi açmak için yalnızca saldırganın size belirli bir şifre çözme anahtarı vermesine güvenebilirsiniz." SlowMist güvenlik ekibi, kurbanın yalnızca ödeme yaparak belirli bir sırrı elde edebileceğini açıkladı. anahtar.
Ancak bazen kurban parayı ödüyor ama saldırgan anahtarın kilidini açmıyor SlowMist güvenlik ekibi saldırganın ekibinin itibarının yargılama için bir temel olarak kullanılabileceğine inanıyor.
"Fidye yazılımı solucanının popülaritesi arttıkça, size bir anahtar gönderme olasılığı da o kadar artar. GandCrab, karanlık ağda hala tanınmaktadır ve iyi bir üne sahiptir." SlowMist güvenlik ekibi, "Özel anahtarı göndermezseniz, itibarınız azalacaktır. Saldırılan kişi artık para oynamayacak. "
"Önemli olan, saldırganın kurban için bir iletişim kanalı sağlayıp sağlamadığını görmektir." DVP blok zinciri güvenlik ekibi Odaily Planet Daily'ye, kripto paranın anonimliği nedeniyle bir saldırganın kurbanın madeni para saldırısı gerçekleştirip gerçekleştirmediğini belirlemesinin zor olduğunu söyledi. İletişim kanalı yoksa saldırganın kurban bilgisayarın kilidini açma gibi bir niyeti yoktur.
Kırılmaz: Yüzeydeki en güçlü fidye yazılımı mı?
"Şu anda doğrudan kırmanın bir yolu yok. Saldırı başarılı olduktan sonra, bilgisayarda önemli bilgiler varsa, yalnızca özel anahtarın kırılması için ödeme yapabilirsiniz." SlowMist ve DVP dahil birçok güvenlik ekibi Odaily Planet Daily'ye bunu söyledi. Virüs kırılamaz.
(Tieba ekran görüntüsü)
Ancak Odaily Planet Daily, bazı forumlarda GandCrab V5.2'yi kırabileceklerini iddia eden şirketlerin ödemenin kırılmadan önce yapılması koşuluyla ortaya çıktığını buldu.
"Temelde, hepsi dolandırıcı, hepsi deri çanta şirketleri ve hiçbir yetenekleri yok." Anonim bir blockchain güvenlik şirketi, "Tencent, 360 ve diğer şirketler onları kıramaz. Çatlayabilirler mi?
Bazı ekipler veya bireyler GandCrab V5.2'nin kırılabileceğini iddia ediyor, ancak aslında bir 'ajan' kırıcıdır. SlowMist güvenlik ekibi, Paranızı toplarlar ve şifreli para birimiyle fidye yazılımını ödemenize yardımcı olurlar, böylece şifre çözme anahtarını alırlar. (Kırık). "
Saldırganlar şiddetli bir şekilde geliyor, bir süre Truva atı virüsünü kıramıyorlar ve sadece iyi bir savunma işi yapabiliyorlar. Yichang Şehri Yiling Bölge Hükümeti de aşağıdakiler dahil bazı karşı önlemler aldı:
Biri bilinmeyen kaynaklardan gelen e-posta eklerini açmamaktır;
İkincisi, ana akım antivirüs yazılımını zamanında kurmak, virüs veritabanını yükseltmek ve ilgili sistemlerde kapsamlı bir tarama gerçekleştirmek;
Üçüncüsü, Windows'ta U diskinin otomatik çalışma işlevini devre dışı bırakmaktır;
Dördüncüsü, işletim sistemi güvenlik yamalarını derhal yükseltmek, Web'i, veritabanını ve diğer hizmet programlarını boşluklar kullanarak virüslerin yayılmasını önlemek için yükseltmektir;
Beşincisi, virüsün yayılmasını önlemek için virüslü ana bilgisayarın veya sunucunun bağlantısını kesmek için önlemler almaktır.
Ancak SlowMist güvenlik ekibi, Windows olmayan işletim sistemlerine şimdilik virüs bulaşmayacağına dikkat çekti. "GandCrab V5.2 solucanı şu anda yalnızca Windows üzerinde çalışıyor ve diğer sistemler çalışmıyor."
"Sert" virüs aynı zamanda ekibi güvenlik çemberinde "küçük ve ünlü" yapar.
GandCrab fidye yazılımı Ocak 2018'de doğdu ve sonraki aylarda "yeni bir yıldız" oldu.
Takımın etiketlerinden biri güçlü "teknik güçtür".
Bu yıl 19 Şubat'ta, Bitdefender Güvenlik Laboratuvarı uzmanları, GandCrab'ın kendisi tarafından verilen anahtara dayalı olarak, virüsün GandCrab V5.1'den önce tüm sürümleri için bir "panzehir" geliştirdi (nedeni daha sonra açıklanacak).
Ancak, yol bir ayak yüksekliğinde ve şeytan bir ayak yüksekliğinde. Zdnet raporlarına göre, bu yıl 18 Şubat'ta, Bitdefender'ın krakerin en son sürümünü yayınlamasından sadece bir gün önce, GrandCrab henüz kırılmamış olan öfkeli sürümü (V5.2) yayınladı.
Şu anda karanlık web'de, GrandCrab'ın arkasındaki ekip, bilgisayar korsanlarına V5.2 virüsü satmak için "hizmet olarak fidye yazılımı" ("hizmet olarak fidye yazılımı") kullanıyor. Yani, virüs GrandCrab ekibi tarafından sağlanır ve bilgisayar korsanları saldırmak ve şantaj yapmak için dünyanın dört bir yanındaki hedefleri seçer Saldırı başarılı olduktan sonra, GrandCrab ekibi kârın% 30-% 40'ını alır.
"Spam gönderenler, artık ağ uzmanlarıyla işbirliği yapabilirsiniz, daha iyi bir yaşam için bileti kaçırmayın, sizi bekliyoruz." Bu GrandCrab ekibinin karanlık web'deki "tüccar reklamı" dır.
GandCrab'ın Dash coinlerine şantaj yapan ilk fidye yazılımı olduğunu ve daha sonra Bitcoin'in 499 $ isteyerek eklendiğini belirtmekte fayda var. GandCrab ekibinin Aralık 2018'de yayınladığı verilere göre Bitcoin ve Dash coin'lerdeki toplam geliri 2,85 milyon USD oldu.
(GandCrab gelir ekran görüntüsü)
"Hırsızlar da haklıdır" Grand Thieves ekibi?
Bu virüsün ekibi ayrıca "Grand Theft Auto" olarak etiketlenmiştir. Etiket, 2018'de meydana gelen "Suriye Anahtarı" olayından türetilmiştir.
16 Ekim 2018'de Jameel adlı Suriyeli bir baba Twitter'da yardım istedi. Jameel, bilgisayarına GandCrab V5.0.3 bulaştığını ve şifrelenmiş olduğunu iddia etti. 600 dolara kadar bir "fidye" ödeyemediği için savaşta öldürülen en küçük oğlunun fotoğraflarını artık göremiyordu.
(Twitter ekran görüntüsü)
GandCrab fidye yazılımı virüs üreticisini gördükten sonra, hemen bir özür diledi ve Suriyeli kullanıcılara virüs bulaştırma niyetinin olmadığını belirterek, virüs bulaşmış bazı Suriyeli kişilerin şifre çözme anahtarlarını serbest bıraktı.
GandCrab ayrıca V5.0.5'i güncelledi ve Suriye'yi ve savaştan zarar gören diğer bölgeleri virüslü bölgelerin "beyaz listesine" ekledi. Ayrıca GandCrab, bilgisayar sisteminin Rusça kullandığını tespit ederse işgali durduracaktır. Bu nedenle güvenlik uzmanları, virüs yazarının Rus olduğundan şüphelenildiğini düşünüyor.
(Şantajcı özür diler)
Bir süre için birçok kişi GandCrab hakkında iyi bir izlenim geliştirdi ve ona "Hırsız" adını verdi.
"GandCrab dövüş sanatları romanlarında epey hırsız ve çalmanın yolları var." İsimsiz bir güvenlik görevlisi Odaily Planet Daily'ye "Ama o zaman bile GandCrab'ın davranışının haklı olduğu söylenemez. Ne de olsa diğer ülkelerdeki insanları tedavi ediyor. Merhamet yok. "
Tencent'in güvenlik ekibinden alınan istatistiklere göre, GandCrab'ın kurbanlarının çoğu Brezilya, Amerika Birleşik Devletleri, Hindistan, Endonezya ve Pakistan'da yoğunlaşmış durumda. Ayrıca GrandCrab V 5.2 tarafından kullanılan diller çoğunlukla Çince, İngilizce ve Korece olup, Çin'in saldırılarının önemli bir hedefi haline geldiğini göstermektedir.
(GrandCrab V 5.2 sürümü)
"Bir bilgisayar korsanı bir bölgedeki insanlara karşı bir şey hissetmiyorsa, kötülük yaptığında bu bölgedeki insanların duygularını dikkate almaz." SlowMist güvenlik ekibi, "Bilgisayar korsanının bakış açısına göre, Çin'in siber alanında çok para var, bu yüzden doğru Çin'in başlaması şaşırtıcı değil. "
Metin | Qin Xiaofeng
Üretilen | Odaily Planet Günlük
Orijinal makalelerin izinsiz olarak yeniden basılması kesinlikle yasaktır ve yasadışı yeniden basım kanunen incelenmelidir.
