GandCrab v4.1打单软件发布，仍通过虚伪破解软件下载网站流传

仅在GandCrab 4.0发布的两天之后，FortiGuard Labs的研究职员就发现了一个更新的版本（v4.1）。该版本仍利用雷同方法流传，即将被攻陷的网站伪装成破解软件下载站点。
研究职员表现，GandCrab v4.1包罗了一个非常长的硬编码列表，列表的内容是它所毗连到的受感染的网站。在一个二进制文件中，这些网站的数目到达了近千个。
别的，为了生存每个网站的完备URL，GandCrab v4.1利用了伪随机算法从多组预界说词中举行选择。终极的URL接纳以下格式（比方www.{host}.com/data/tmp/sokakeme.jpg）。
在乐成毗连到URL之后，GandCrab v4.1会向受感染网站发送经加密（以及base64编码）的受害者数据，此中包罗如下受感染体系和GandCrab信息：

• IP地点
  
• 用户名
  
• 主机名
  
• 网络管区
  
• 已安装的杀毒软件列表
  
• 默认体系地区设置
  
• 俄语键盘结构（0=Yes/1=No）
  
• 操纵体系
  
• 处置惩罚器布局
  
• 赎金ID（{卷序列号的crc } {卷序列号}）
  
• 网络和当地驱动
  
• GandCrab 内部信息：
  
• id
  
• sub_id
  
• version
  
• action
  

研究职员指出，为了确保可以或许顺遂对目的文件举行加密，GandCrab v4.1大概会杀死以下历程：

• msftesql.exe
  
• sqlagent.exe
  
• sqlbrowser.exe
  
• sqlwriter.exe
  
• oracle.exe
  
• ocssd.exe
  
• dbsnmp.exe
  
• synctime.exe
  
• agntsvc.exeisqlplussvc.exe
  
• xfssvccon.exe
  
• sqlservr.exe
  
• mydesktopservice.exe
  
• ocautoupds.exe
  
• agntsvc.exeagntsvc.exe
  
• agntsvc.exeencsvc.exe
  
• firefoxconfig.exe
  
• tbirdconfig.exe
  
• mydesktopqos.exe
  
• ocomm.exe
  
• mysqld.exe
  
• mysqld-nt.exe
  
• mysqld-opt.exe
  
• dbeng50.exe
  
• sqbcoreservice.exe
  
• excel.exe
  
• infopath.exe
  
• msaccess.exe
  
• mspub.exe
  
• onenote.exe
  
• outlook.exe
  
• powerpnt.exe
  
• steam.exe
  
• thebat.exe
  
• thebat64.exe
  
• thunderbird.exe
  
• visio.exe
  
• winword.exe
  
• wordpad.exe
  

杀死这些历程答应加密例程乐成的完成其目的，而不会出现任何不盼望的停止。别的，这些目的文件范例通常包罗对受害者有代价的数据，因此增长了受害者思量付款以获取其文件的大概性。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。