در حالی که در اواخر تیر ماه شرکت ضدویروس آنلب اقدام به انتشار ابزاری برای جلوگیری از رمزگذاری فایلها توسط باجافزار GandCrab کرده بود، نویسنده این باجافزار مخرب در اقدامی تلافیجویانه، دو نسخه جدید GandCrab را مجهز به بهرهجویی نموده که با سواستفاده از یک آسیبپذیری روز صفر، عملکرد این ضدویروس کرهای را دچار اختلال میکند.
ابزار آنلب با ایجاد فایلی بر روی دستگاه، GandCrab را متقاعد میکرد که دستگاه پیشتر به باجافزار آلوده شده و با این روش عملا از رمزگذاری فایلها جلوگیری میکرد. نویسنده GandCrab در پیامی که به سایت BleepingComputer ارسال کرده گفته که ابزار آنلب را تنها در عرض چند ساعت بیمصرف کرده است.
در بخشی از کد نسخههای جدید GandCrab که از آسیبپذیری آنلب بهرهجویی میکنند عبارت “سلام آنلب، نتیجه یک بر یک” (hey ahnlab, score – 1:1) به چشم میخورد.
به گزارش شرکت مهندسی شبکه گستر، آسیبپذیری مذکور ضعفی از نوع از کاراندازی سرویس (DoS) است که سواستفاده از آن منجر به غیرفعال شدن یکی از اجزای ضدویروس آنلب و حتی در برخی مواقع بروز خطای موسوم به صفحه آبی مرگ (BSOD) در سیستم عامل میشود.
آنلب هنوز اصلاحیهای برای این آسیبپذیری عرضه نکرده است. هر چند که به گفته یکی از مدیران این شرکت پیش از آنکه باجافزار فرصت بهرهجویی از آسیبپذیری را پیدا کند ضدویروس نسبت به فایل مخرب آن واکنش نشان میدهد.
این اقدام نویسنده GandCrab در حالی صورت میگیرد که در اواخر سال گذشته، شرکت ضدویروس بیتدیفندر نیز یک ابزار رمزگشایی برای برخی از نسخههای این باجافزار ارائه کرد. نویسنده GandCrab نه تنها این اقدام بیتدیفندر را تلافی نکرد که حتی با عبارت “good work” مهارت آنها را در رخنه به یکی از سرورهای فرماندهی این باجافزار و شناسایی کلیدهای رمزگشایی تحسین کرد!
لازم به ذکر است که آخرین نسخه از باجافزار GandCrab با نامهای زیر شناسایی میشود:
Bitdefender:
– Generic.Ransom.GandCrab4.DBA40220
McAfee:
– Artemis!9F1AECA41D2D
Sophos:
– Mal/Behav-204