Matthew Rowen, ein Forscher für Computersicherheit bei Bromium, beschrieb die Anklage von GandCrab als "trojanisches Pferd".
Gandcrab Ransomware ist eine der am häufigsten verwendeten Dateien, die Malware in Zerstörungskampagnen blockieren. Diese Software arbeitet mit anderen Infektionssoftware zusammen und verwendet dafür ausgefeilte Methoden wie Exploit-Kits.
Die Entwickler von GandCrab zeigten, dass sie immer noch daran arbeiten, ihre Techniken zu verbessern, um sie zu verbreiten und mehr betrügerische Gewinne zu erzielen.
Experten für virtuelle Sicherheit haben eine ausführbare Excel-Datei mit Makros gefunden, die die Payload nur freigibt, wenn sich der Benutzer in Italien befindet.
Die Forscher stellten fest, dass das Makro den Benutzer durch das Tastaturdesign erkennt und, falls der PC nicht den italienischen Ländercode verwendet.
Beachten Sie, dass diese infizierten E-Mails von Zahlungsbenachrichtigungen auf Italienisch weitergeleitet werden.
Wenn die Person die ausführbare Datei mit dem Inhalt von GandCrab sehen möchte, muss sie auf "Bearbeitung aktivieren" klicken, wodurch der Computer infiziert wird.
Die Bromium-Forscher entdeckten, dass das Makro mit der Eingabeaufforderung und Windows PowerShell gestartet wird.
Im Super Mario-Image werden die Windows PowerShell-Befehle verschlüsselt und in einigen farbigen Bereichen wie Blau und Grün verborgen, die geändert werden, um sie mit dem erforderlichen Inhalt zu infizieren. Es ist technisch unmöglich, das Bild eines infizierten Bildes vom Original zu unterscheiden, wodurch der Benutzer leichter betroffen wird.
Immerhin erreicht die schädliche Last den externen Server, um Gandcrab v5.1 herunterzuladen. Danach erhalten die Benutzer alle ihre Daten mit einem ausgeklügelten Algorithmus.
Benutzer erhalten eine Art Lösegeldforderung, "um ihre Dateien wiederherzustellen", so dass sie einen bestimmten Geldbetrag zahlen müssen. Persönlich raten wir Ihnen, nicht in den Betrug des Bezahlens zu geraten, da dies fast nie der Fall ist und die Möglichkeit, die Dateien wiederherzustellen, fast null ist.
Wir empfehlen die Verwendung von kostenlosen Entschlüsselern durch Sicherheitsexperten oder die Verwendung von Software von Drittanbietern. Ignorieren Sie verdächtige E-Mails oder Nachrichten oder dubiose Quellen, um nicht in die Entführung Ihrer Dateien zu geraten.