GandCrab v4.1勒索軟體釋出，仍通過虛假破解軟體下載網站傳播

僅在GandCrab 4.0釋出的兩天之後，FortiGuard Labs的研究人員就發現了一個更新的版本（v4.1）。該版本仍使用相同方法傳播，即將被攻陷的網站偽裝成破解軟體下載站點。

研究人員表示，GandCrab v4.1包含了一個非常長的硬編碼列表，列表的內容是它所連線到的受感染的網站。在一個二進位制檔案中，這些網站的數量達到了近千個。

另外，為了生存每個網站的完整URL，GandCrab v4.1使用了偽隨機演算法從多組預定義詞中進行選擇。最終的URL採用以下格式（例如www.{host}.com/data/tmp/sokakeme.jpg）。

在成功連線到URL之後，GandCrab v4.1會向受感染網站傳送經加密（以及base64編碼）的受害者資料，其中包含如下受感染系統和GandCrab資訊：

IP地址

使用者名稱

主機名

網路管區

已安裝的防毒軟體列表

預設系統區域設定

俄語鍵盤佈局（0=Yes/1=No）

作業系統

處理器結構

贖金ID（{卷序列號的crc } {卷序列號}）

網路和本地驅動GandCrab 內部資訊：

id

sub_id

version

action

研究人員指出，為了確保能夠順利對目標檔案進行加密，GandCrab v4.1可能會殺死以下程式：

msftesql.exe

sqlagent.exe

sqlbrowser.exe

sqlwriter.exe

oracle.exe

ocssd.exe

dbsnmp.exe

synctime.exe

agntsvc.exe

isqlplussvc.exe

xfssvccon.exe

sqlservr.exe

mydesktopservice.exe

ocautoupds.exe

agntsvc.exe

agntsvc.exe

agntsvc.exe

encsvc.exe

firefoxconfig.exe

tbirdconfig.exe

mydesktopqos.exe

ocomm.exe

mysqld.exe

mysqld-nt.exe

mysqld-opt.exe

dbeng50.exe

sqbcoreservice.exe

excel.exe

infopath.exe

msaccess.exe

mspub.exe

onenote.exe

outlook.exe

powerpnt.exe

steam.exe

thebat.exe

thebat64.exe

thunderbird.exe

visio.exe

winword.exe

wordpad.exe

殺死這些程式允許加密例程成功的完成其目標，而不會出現任何不期望的中斷。此外，這些目標檔案型別通常包含對受害者有價值的資料，因此增加了受害者考慮付款以獲取其檔案的可能性。