Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

ЦЕНТР КИБЕРБЕЗОПАСНОСТИ ФГУП «ЗАЩИТАИНФОTРАНС» СООБЩАЕТ:

Эксперты по безопасности выявили новую, уже пятую по счету версию распространенного шифровальщика-вымогателя GandCrab. В отличии от предыдущих версий новый троян использует свежую уязвимость в ОС Windows

CVE-2018-8440 для заражения. При проникновении на компьютер жертвы вымогатель зашифрует все ценные файлы и потребует выкуп в размере от $800 до $2400 в криптовалюте DASH или Bitcoin. 

Исследователи отмечают, что троян GandCrab 5 ищет и зашифровывает файлы, относящиеся к категориям аудио, видео, документы, изображения, резервные копии, архивы, банковские реквизиты. Еще одна проблема состоит в том, что данный троян активно ищет все доступные сетевые диски и хранилища в локальном сетевом окружении зараженного компьютера, и пытается зашифровать все данные и на них тоже. 

Характерной внешней особенностью GandCrab V5.0 является добавление пятисимвольного расширения к каждому зашифрованному файлу. Кроме этого, шифровальщик генерирует в системе HTML-сообщения с требованием выкупа, чье название имеет формат *****-DECRYPT.html, где вместо звездочек — те самые пять символов расширения.

Сообщение от злоумышленников предлагает установить браузер TOR и зайти на специальный сайт для выплаты выкупа. На этом сайте можно произвести «пробную расшифровку» одного файла, чтобы убедиться в том, что ключ дешифрования существует и работает. Далее жертве предлагается заплатить средства. На выполнение требований преступников жертве дано не более трех суток. 

Способ распространения новой версии трояна вполне традиционный — почтовые вложения, рассылаемые со спамом.

В поле «Тема» большинства сообщений с шифровальщиком GandCrab во вложении может присутствовать одна из нижеприведенных последовательностей: Document #{N}, 

Invoice #{N}, Order #{N}, Payment #{N}, Payment Invoice #{N}, Payment Invoice #{N}, Ticket #{N}, Your Document #{N}, Your Order #{N}, Your Ticket #{N}, где {N} является случайным числом. 

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» в качестве защитных мер рекомендуют проводить регулярную установку обновлений операционной системы и проявлять осторожность при работе с email-сообщениями. Если отправитель или вложение вызывают хотя бы минимальное подозрение, следует воздержаться от открытия файлов вложений на компьютере. Также необходимо использовать антивирусный продукт с регулярно обновляемыми базами и включенной опцией контроля поведенческого анализа.

В качестве способа обеспечения сохранности данных рекомендуется регулярно проводить резервное копирование ценных данных и документов на съемные носители информации.