بدافزار GandCrab، یک خانوادهی باجافزاری که در ماههای اخیر بهروزرسانیهای زیادی را دریافت کرده و اکنون با بهرهبرداری از بهرهبرداری اترنالبلو متعلق به آژانس امنیت ملی آمریکا (NSA) تلاش میکند تا دستگاههای ویندوز XP را آلوده نماید. این بدافزار معمولا از طریق ایمیلهای هرزنامه گسترش مییابد، اما GandCrab 4 که اوایل ماه جاری منتشر شد، از طریق وبسایتهای آسیبدیده توزیع میشود. این بدافزار به انتهای فایلهای رمزنگاریشده پسوند KRAB. را اضافه میکند. نسخهی جدید بدافزار که تغییرات اساسی از نظر ساختار کد را شامل میشود، برای رمزنگاری دادهها از Salsa20 استفاده کرده و برخی از قابلیتهای قدیمیتر را نیز حذف کرده است. مهمتر از همه، دیگر برای رمزنگاری فایلها، نیازی به سرور دستور و کنترل (C & C) نیست.
برای آخرین نسخه از بدافزار، وبسایتهای آلودهی بسیاری مشاهده شده است که صفحات مخرب به آنها تزریق شدهاند. این صفحات بلافاصله کاربران را به صفحهی جداگانهای هدایت میکنند که حاوی لینک واقعی دانلود بوده و منجر به دانلود GandCrab میشود. محققان امنیتی میگویند که فایل اجرایی بدافزار و لینکهای دانلود بهصورت مرتب بهروز میشوند. در حقیقت، چند روز پس از انتشار نسخهی ۴، نویسندگان باجافزار نسخهی ۴٫۱ از GandCrab را منتشر کردند.
مهمتر از همه، همانطور که محقق امنیتی، کوین بومانت، کشف کرده است، این باجافزار تلاش میکند تا از طریق بهرهبرداری از EternalBlue SMB آژانس امنیت ملی آمریکا گسترش یابد. جالبترین جنبهی این قابلیت جدید این واقعیت است که سیستمهای ویندوز XP و ویندوز سرور ۲۰۰۳ همچنان همراه با سیستم عاملهای مدرن مورد هدف قرار میگیرند. بهرهبرداری اترنالبلو یک اشکال امنیتی در بلوک پیام سرور (SMB) ویندوز بر روی پورت ۴۴۵ را هدف قرار میدهد. با این حال، این نقصها تنها نسخههای قدیمی سیستم عامل و عمدتا ویندوز XP و ویندوز ۷ را تحت تاثیر قرار میدهند.
مایکروسافت این آسیبپذیری که اترنالبلو را هدف قرار میدهد را پیش از آنکه عمومی شود، وصله کرد و حتی برای محافظت از کاربران در برابر باجافزار WannaCry، یک وصلهی اضطراری نیز برای ویندوز XP منتشر کرد. بنابراین، بهترین دفاع در برابر باجافزار GandCrab و هر بدافزاری که از طریق اترنالبلو گسترش مییابد، این است که وصلهی موجود برای تمام سیستم عاملها، از جمله سیستم عاملهای قدیمیتر مانند ویندوز XP و ویندوز سرور ۲۰۰۳ اعمال شود.
محققان امنیتی توضیح دادند: «بسیاری از محصولات ضدبدافزار، پشتیبانی خود از ویندوز XP و ویندوز سرور ۲۰۰۳ را کاهش دادهاند، که باعث بروز مشکاتی شده است. به کاربران توصیه میشود که برای حفظ امنیت خود چیزی را از BitTorrent دانلود نکرده، نرمافزار ناشناخته نصب نکنند، Keygenها را اجرا نکرده و کارتهای USB را بهصورت تصادفی به سیستم خود متصل نکنند.»