تحلیل باج افزار GandCrab
گزارش تحلیل این باج افزار توسط آزمایشگاه تحلیل بدافزار کی پاد آماده شده است که نسخه کامل آن با مراجعه به وب سایت در دسترس است.
لازم به ذکر است که این باج افزار توسط محصول رنسام پاد قابل شناسایی است.
#malware_analysis
#ransomware
@pishgaman_kaipod
گزارش تحلیل این باج افزار توسط آزمایشگاه تحلیل بدافزار کی پاد آماده شده است که نسخه کامل آن با مراجعه به وب سایت در دسترس است.
لازم به ذکر است که این باج افزار توسط محصول رنسام پاد قابل شناسایی است.
#malware_analysis
#ransomware
@pishgaman_kaipod
باجافزار GandCrab نسخه 4 که به تازگی مشاهده شده و مورد رصد قرار گرفته است، در حال هدف قرار دادن کاربرانی است که به دنبال نرمافزارهای کرک شده هستند. این مشاهده ابتدا توسط BleepingComputer گزارش شد. شایان ذکر است، صفحات مخرب در حال حاضر به درون وبسایتهای مشروع تزریق میشوند، با این هدف که کاربران را به بدافزار GandCrab آلوده کند.
از زمانی که باجافزار GandCrab مورد یک بهروزرسانی بزرگی قرار گرفت، تقریبا 2 ماه میگذرد. در حالیکه نسخه اخیر از منظر ساختار کد شامل تغییرات اساسی شده است، اما هنوز اهداف عملیاتی بدافزار مشابه با نسخههای پیشین است.
در حالیکه برخی از ویژگیهای قبلی بدافزار حذف شده است، اغلب ویژگیهای استاندارد آن باقی مانده است. یک مورد قابل توجه، مثلا ویژگی تعویض عکس پسزمینه است که در نسخه قبلی به این باجافزار افزوده شده بود، اکنون در نسخه جدید دیگر این ویژگی پیادهسازی نشده است.
همانطور که پیش از این ذکر شد، نسخه جدید این باجافزار اکنون از سایفر استریم Salsa20 «Salsa20 Stream Cipher» برای رمزنگاری فایلها به جای RSA-2048 استفاده میکند که اکنون برای هدف کاملا متفاوتی استفاده میشود.
همچنین قابل ذکر است که نسخههای قبلی این بدافزار نیاز داشتند به سرورهای کنترل و فرماندهی قبل رمزنگاری فایلها متصل شوند. در نسخه جدید، بدافزار نیاز به برقراری ارتباط با سرورهای کنترل و فرماندهی را ندارد.
این یعنی، بدافزار اکنون میتواند فایلها را رمزنگاری کند، حتی اگر به اینترنت متصل نباشد. به هر صورت، رمزنگاری کلید خصوصی RSA-2048 و پارامترهای Salsa به شکل زیر انجام میشوند:
1. ایجاد کلیدهای خصوصی و عمومی الگوریتم RSA-2048
2. ایجاد مقادیر تصادفی 32 بایتی و 8 بایتی به عنوان کلید و نانس «Nonce» Salsa20
3. رمزنگاری کلید خصوصی RSA-2048 با استفاده از Salsa20
4. کلید و نانس Salsa20 همچنین با کلید عمومی RSA-2048 تولید شده در مراحل قبل رمزنگاری میشوند.
کلیدهای رمزنگاری در قالب یک بلاک باینری در موقعیت HKCU\Software\keys_data\data\private و همچنین کلید عمومی RSA در موقعیت HKCU\Software\keys_data\data\public رجیستری ذخیره میشود.
برای مطالعه کامل گزارش تحلیل این باج افزار به وب سایت کی پاد رجوع کنید.
#malware_analysis
#ransomware
@pishgaman_kaipod
از زمانی که باجافزار GandCrab مورد یک بهروزرسانی بزرگی قرار گرفت، تقریبا 2 ماه میگذرد. در حالیکه نسخه اخیر از منظر ساختار کد شامل تغییرات اساسی شده است، اما هنوز اهداف عملیاتی بدافزار مشابه با نسخههای پیشین است.
در حالیکه برخی از ویژگیهای قبلی بدافزار حذف شده است، اغلب ویژگیهای استاندارد آن باقی مانده است. یک مورد قابل توجه، مثلا ویژگی تعویض عکس پسزمینه است که در نسخه قبلی به این باجافزار افزوده شده بود، اکنون در نسخه جدید دیگر این ویژگی پیادهسازی نشده است.
همانطور که پیش از این ذکر شد، نسخه جدید این باجافزار اکنون از سایفر استریم Salsa20 «Salsa20 Stream Cipher» برای رمزنگاری فایلها به جای RSA-2048 استفاده میکند که اکنون برای هدف کاملا متفاوتی استفاده میشود.
همچنین قابل ذکر است که نسخههای قبلی این بدافزار نیاز داشتند به سرورهای کنترل و فرماندهی قبل رمزنگاری فایلها متصل شوند. در نسخه جدید، بدافزار نیاز به برقراری ارتباط با سرورهای کنترل و فرماندهی را ندارد.
این یعنی، بدافزار اکنون میتواند فایلها را رمزنگاری کند، حتی اگر به اینترنت متصل نباشد. به هر صورت، رمزنگاری کلید خصوصی RSA-2048 و پارامترهای Salsa به شکل زیر انجام میشوند:
1. ایجاد کلیدهای خصوصی و عمومی الگوریتم RSA-2048
2. ایجاد مقادیر تصادفی 32 بایتی و 8 بایتی به عنوان کلید و نانس «Nonce» Salsa20
3. رمزنگاری کلید خصوصی RSA-2048 با استفاده از Salsa20
4. کلید و نانس Salsa20 همچنین با کلید عمومی RSA-2048 تولید شده در مراحل قبل رمزنگاری میشوند.
کلیدهای رمزنگاری در قالب یک بلاک باینری در موقعیت HKCU\Software\keys_data\data\private و همچنین کلید عمومی RSA در موقعیت HKCU\Software\keys_data\data\public رجیستری ذخیره میشود.
برای مطالعه کامل گزارش تحلیل این باج افزار به وب سایت کی پاد رجوع کنید.
#malware_analysis
#ransomware
@pishgaman_kaipod