تصویر زیر،  نمای کلی یک کمپین اسپم را نشان می‌دهد که منجر به نمونه‌برداری GandCrab 2. 1 به عنوان یک payload می‌شود.

 

شکل 1: نمایش KTIS اسپم

 

 تصویر فوق نشان می‌دهد ایمیل‌های متعددی که شامل پیوست جاوا اسکریپت هستند که هنگام اجرا یک نسخه GandCrab 2. 1 را از نشانی http[: ]//185. 189. 58. 222/uh. exe دریافت می‌کنند.

این نمودار همچنین نشان می‌دهد سه ترکیب مختلف GandCrab 2. 1 پیش از این در این نشانی میزبانی شده‌اند و این به معنی آن است که نمونه‌های تازه ساخته شده به طور همزمان با تنظیمات مختلف، یا با تلاش برای دور زدن امضاهای خاص حمله می‌کنند. این موضوع محدود به Gandcrab نیست بلکه این IP ، میزبان نرم‌افزارهای مخرب دیگری مانند IRCbot نیز هست. IRCbot یک کرم است که اجازه دسترسی و کنترل از راه دور سیستم آلوده را به منظور mine کردن در اختیار مهاجمان قرار دهد.

 

تصویر 2: یک زنجیره از کمپین اسپم Grandcab 2. 1

 

همان طور که قبلا گفته شد، نمونه‌های اسپم ایمیل شامل اسکریپت‌های جاوا در آرشیوهای فشرده شده با فرمت نام‌گذاری DOC . zip پنهان می‌شوند. محتویات این اسپم‌ها عملاً مشابه چیزی است که در شکل بعدی نشان داده شده است.

 

نمودار زیر توزیع اسپم از نظر دامین دریافت کننده ایمیل را شرح می‌دهد. همان طور که مشاهده می‌شود، سرورهای پست الکترونیکی که در ایالات متحده میزبانی می‌شوند گیرنده اصلی این کمپین هستند.

 

تصویر 4: توزیع جغرافیایی دامین گیرنده ایمیل

 

از سوی دیگز نمودار بعدی یک دید کلی از آلودگی واقعی GandCrab در ماه گذشته را نشان می‌دهد. بر اساس زمان‌بندی می‌توان مشاهده کرد که آلودگی پس از کشف این کمپین افزایش یافته است.

 
تصویر 5: نمودار زمان‌بندی آلودگی GandCrab در ماه گذشته

 

با توجه به آلودگی‌های موفق GandCrab، همان طور که در نمودار زیر نشان داده شده، هند بیشترین میزان را داشته است.

تصویر 6: نمودار جغرافیای آلودگی GrandCrab
 

 تصویر 7: فایل‌های رمزگذاری شده با فرمت. CRAB
 

یادداشت باج‌خواهی شامل یک پیوند به سایتی با دامنه. onion است که کاربر باید با استفاده از یک مرورگر TOR _که به منظور مرور وب و دانلود ناشناس طراحی شده است- اقدام به خرید کلید رمزگشا کند. در این صفحه اطلاعات معمولی مانند دستورالعمل‌ها و میزان باجی که پس از مدتی دوبرابر می‌شود نشان داده می‌شود. با این وجود ما توصیه می‌کنیم کاربران جریمه را پرداخت نکنند چرا که این کار هیچ اقدامی از سوی باجگیران را تضمین نمی‌کند.

 

تصویر 8: یادداشت باج‌خواهی GandCrab v2. 1
 

 تصویر 9: صفحه پرداخت قیمت رمزگشایی، پس از پایان شمارش معکوس و دوبرابر شدن قیمت

باج‌افزار GandCrab یا هر باج‌افزار دیگری می‌تواند موجب آسیب‌های برگشت ناپذیر به سیستم آلوده شود. بهترین دفاع در برابر این نوع حملات، سلامت سایبری و رعایت امنیت است. در این مورد به خاطر داشته باشید همیشه در مورد ایمیل‌هایی با پیوست فایل‌های اجرایی احتیاط کنید. علاوه بر این همیشه نسخه پشتیبان را در محیطی جدا از شبکه ذخیره کنید تا در صورت بروز مشکل بتوانید به طور موفقیت آمیز یک سیستم آسیب دیده را بازیابی کنید.

کاربران Fortinet به روش‌های زیر محافظت می‌شوند:
- ایمیل توسط ضد اسپم FortiGuard مسدود شده است.
- فایل‌ها در زنجیره حمله توسط آنتی‌ویروس FortiGuard شناسایی شده‌اند.
- URLهای دانلود مخرب توسط سرویس فیلترینگ  FortiGuard مسدود شده‌اند.
- FortiSandBox هر فایل اجرایی در زنجیره حمله را با «ریسک بالا» درجه‌بندی می‌کند.

FortiMail یک کامپوننت مرکزی از Fortinet Security Fabric و یک کلید امنیت در برابر تهدیدات جدید است که از بستر ایمیل استفاده می‌کنند. FortiMail لایه‌های چندگانه پیشگیری و ترکیبی دارد که تهدیدات مبتنی بر ایمیل را خنثی می‌کند:
هنگامی که با FortiSandBox در Security Fabric ترکیب می‌شود، FortiMail ایمیل‌ها را به صف می‌کند تا در ماشین مجازی SandBox اجرا شوند. FortiSandbox قادر است این تهدیدات را براساس رفتار فایل JS و شناسایی URLهای مخرب و C2ها شناسایی کند و با دسته‌بندی آن‌ها به عنوان «پرخطر» اجازه می‌دهد FortiMail آن‌ها را خنثی کند.
FortiMail با بهره گیری از FortiGuard و Virus Outbreak که از ماشین‌های مبتنی بر Cloud استفاده می‌کند تهدیدات جدید را شناسایی و مسدود می‌کند. این ابزار انواع مختلفی از تهیدات را ظرف چند ثانیه بعد از شناسایی و فعال شدن سرویس مسدود کرد.
طیفی از روش‌های مبتنی بر محتوا برای خنثی کردن چنین تهدیداتی وجود دارد:
- حذف محتوای فعال مانند exe و جاوا اسکریپت از ایمیل‌ها
- خنثی کردن اسناد آفیس و PDF با حذف ماکروها، جاوا اسکریپت، محتوای جاسازی شده، DDE و ...

یک ویژگی کلیدی Security Fabric اشتراک اطلاعات تهدید با سایر اجزا است. زمانی که یک تهدید شناسایی شود، بدافزار و بسته‌های URL مخرب با FortiSandbox، FortiMail، FortiGate و FortiClient به اشتراک گذاشته می‌شود، بنابراین چنانچه آن تهدید از بستر دیگری برای تخریب استفاده کند به سرعت شناسایی می‌شود.