کمیته رکن چهارم – نسخه جدیدی از باجافزار GandCrab کشف شده که مشابه نسخههای قبلی از طریق کیتهای اکسپلویت توزیع نمیشود.
در حال حاضر روش توزیع GandCrab v۵ نامشخص است. در این نسخه فایلهای آلوده پس از رمز شدن، پسوندی حاوی ۵ کاراکتر تصادفی به آنها اضافه میشود و یک پیام باج بصورت فایل HTML ایجاد میشود.
باجافزار GandCrab باجافزار گستردهای است و در حال حاضر در حال توسعه مداوم است و به آن ویژگیهای جدیدی اضافه میشود تا کشورهای مختلفی را مورد هدف قرار دهد.
باجافزار از آسیبپذیری ALPC در ویژگی زمانبندی فعالیت ویندوز سوء استفاده میکند تا دسترسی خود را بالا ببرد. این آسیبپذیری در وصلههای ماه سپتامبر توسط مایکروسافت برطرف شده است اما همچنان رایانههایی بدلیل عدم اعمال وصله نسبت به آن آسیبپذیر هستند.
۵ کاراکتری که به عنوان پسوند به فایل آلوده اضافه میشود به ازای هر رایانه آلوده متفاوت است و این کاراکترها بصورت تصادفی انتخاب میشوند. برای مثال در آزمایشی که پژوهشگران انجام دادند، فایل test.doc به test.doc.lntps تبدیل شده است.
پس از رمزگذاری فایلها، یک فایل HTML ایجاد میشود که حاوی متن باجخواهی، فایلها، اسناد و تصاویر رمز شده است و از قربانی برای بازیابی فایلها درخواست پرداخت مبلغی را ارائه میکند. همچنین، دستورالعملی در مورد نحوه پرداخت از طریق سایت پرداخت TOR (hxxp://gandcrabmfe۶mnef[.]onion) نیز در آن درج شده است.
مبلغ باج ۱۲۰۰ دلار تعیین شده است که بصورت ارزهای دیجیتال بیتکوین یا دشکوین دریافت میشود. مهاجم به کاربر اجازه میدهد تا برای نمونه یک فایل را بصورت رایگان بازیابی کند.
