360 Total Security Blog

El ransomware GandCrab se está expandiendo incontroladamente mediante varias vulnerabilidades conocidas

El ransomware GandCrab es una de las familias de ransomware más populares en los últimos tiempos. La última versión del ransomware se ha actualizado a 5.0.1. En septiembre, 360 Security Center descubrió que la expansión del ransomware GandCrab había comenzado a aumentar tan rápidamente que muchos archivos de los servidores de Windows estaban encriptados. Actualmente, el ransomware se está expandiendo mediante varias vulnerabilidades conocidas, que incluyen la herramienta Fallout Exploit, añadida en septiembre.

¿Cómo se expande GrandCrab?
Actualmente, GrandCrab se expande normalmente mediante los métodos siguientes:
1. Se disfraza como un software normal o va en conjunto con software crackeado para inducir a los usuarios a descargarlo
2. Crackea contraseñas débiles
3. Usa el exploit Apache Tomcat
4. Usa los fallos de servidor Jboss y WebLogic
5. Se aprovecha de la vulnerabilidad de Struts

Los últimos cambios en la muestra de GrandCrab
La última versión del ransomware genera aleatoriamente un hilos de 5 caracteres de longitud como sufijo del archivo, y escribe el sufijo en el SOFTWAREkeys_datadata registry, en lugar de usar un sufijo fijo:

Últimamente ha aumentado el uso de la vulnerabilidad de privilegios de Windows 10 (CVE-2018-0896):

Añadidos últimamente scripts de PowerShell para realizar la encriptación:

Recordatorio
Los usuarios que usan los servidores mencionados arriba deben actualizar el software usado por los servidores para arreglar las vulnerabilidades de seguridad. Por suerte, 360 Total Security puede defender contra este tipo de ataques. Por eso, recomendamos a los usuarios que instalen 360 Total Security para proteger sus sistemas.