在上周末，GandCrab勒索软件的开发者再一次推出了他们的最新版本——GandCrab V4。与之前的版本相比，新的版本出现了许多变化：不同的加密算法、不同的文件扩展名（.KRAB）、不同的赎金票据名称（KRAB-DECRYPT.txt）以及不同的TOR支付网站（gandcrabmfe6mnef[.]onion）。

根据一名推特用户名为Fly的恶意软件分析师的说法，这个最新版本的GandCrab勒索软件正在通过虚假的破解软件下载网站传播。恶意行为者通过入侵某些合法网站，并建立自己的虚假博客，然后提供破解软件下载。当不知情的受害者下载并执行了这些软件时，GandCrab V4就会在他们的计算机上安装。

另据Malwarebytes公司的安全研究员Marcelo Rivero提供的他对GandCrab v4的调试结果来看，这个勒索软件似乎已经将其加密算法切换为了Salsa20。

执行GandCrab V4时，它将扫描整个计算机和任何网络共享以寻找能够被加密的目标文件。扫描网络共享时，它将枚举网络上的所有共享，而不仅仅是映射驱动器。

当找到目标文件时，它将对其进行加密，然后在原文件名的后面附加.KRAB扩展名。例如，在名为test.doc的文件被加密后，其文件名将被重命名为test.doc.KRAB。

在加密文件时，它还会创建一个名为KRAB-DECRYPT.txt的赎金票据，其中包含都有哪些文件遭到加密、如何安装Tor浏览器并连接到赎金支付网站以及其他一些注意事项等信息。

如果受害者访问这个TOR支付网站，他们将看到赎金的金额以及如何支付以获得GandCrab V4解密器的说明。

目前的赎金金额被设定为4.73971088达世币（DASH），约等值于1200美元。

为了使受害者相信解密器真实有效，TOR支付网站还包含了一个实施聊天功能，并提示受害者可以向恶意行为者发送消息以免费解密一个文件。

这个于今年1月份才出现的勒索软件在短短几个月里已经发布了多个不同的版本，并且成为第一个接受达世币作为赎金支付的勒索软件。再加上从今年2月份开始，被网络安全公司LMNTRIX的安全研究人员发现作为勒索软件即服务在暗网提供，使得它迅速流行起来，同时也被认为是迄今为止最顶级的勒索软件之一。

尽管在引起一些网络安全公司，甚至是执法机构的注意后，该勒索软件依然活跃。并自今年4月份以来，开始利用漏洞利用工具包进行传播。GandCrab v4的发布证明，该勒索软件的开发者不仅没有退出“战场”的打算，而且还在持续不断地引入新的技术，以使这款恶意软件更具破坏力。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。