GandCrab

Ransomware GandCrab to rodzaj złośliwego oprogramowania, które szyfruje pliki ofiary i żąda zapłaty okupu w celu odzyskania dostępu do danych. GandCrab atakuje konsumentów i firmy korzystające z komputerów z systemem operacyjnym Microsoft Windows.

POBIERZ MALWAREBYTES ZA DARMO

Również dla Windows, iOS, Android, Chromebook i Dla biznesu

31 maja 2019 r. cyberprzestępcy stojący za oprogramowaniem ransomware GandCrab zrobili coś niezwykłego w świecie złośliwego oprogramowania. Ogłosili, że zamykają działalność i potencjalnie zostawiają miliony dolarów na stole.

"Wszystko, co dobre, kiedyś się kończy" - napisali w samochwalczym wpisie na znanym forum cyberprzestępczym. Od czasu uruchomienia w styczniu 2018 r. autorzy GandCrab twierdzili, że przynieśli ponad 2 miliardy dolarów nielegalnych płatności okupu i nadszedł czas "na zasłużoną emeryturę".

"Z powodzeniem spieniężyliśmy te pieniądze i zalegalizowaliśmy je w różnych sferach białego biznesu, zarówno w prawdziwym życiu, jak i w Internecie" - czytamy dalej w poście. "Udowodniliśmy, że czyniąc złe uczynki, zemsta nie nadchodzi".

Partnerzy stowarzyszeni, którzy pomagali w rozpowszechnianiu oprogramowania ransomware w zamian za udział w zyskach, byli zachęcani do zaprzestania działalności, podczas gdy ofiarom powiedziano, aby zapłaciły teraz lub utraciły zaszyfrowane dane na zawsze.

Post zakończył się zwięzłym podziękowaniem dla wszystkich w społeczności afiliacyjnej za "całą ciężką pracę".

Choć jest to zabawna przechwałka, kilka pytań pozostaje bez odpowiedzi. Czy twórcy GandCrab rzeczywiście zarobili tyle pieniędzy, ile powiedzieli? Kim w ogóle są ci ludzie i czy naprawdę przeszli na emeryturę? Co ważniejsze, czy ransomware GandCrab nadal stanowi zagrożenie dla konsumentów?

W tym artykule postaramy się odpowiedzieć na wszystkie nurtujące pytania, zapewnić zasoby dla ofiar i zakończyć historię GandCrab.f.

Czym jest GandCrab?

Zaobserwowane po raz pierwszy w styczniu 2018 r. oprogramowanie ransomware GandCrab to rodzaj złośliwego oprogramowania, które szyfruje pliki ofiar i żąda zapłaty okupu w celu odzyskania dostępu do ich danych. GandCrab atakuje konsumentów i firmy korzystające z komputerów z systemem Microsoft Windows.

Brzmiąc jak choroba przenoszona drogą płciową, można by pomyśleć, że nazwa taka jak "GandCrab" ma coś wspólnego z zakaźną naturą ransomware i skłonnością do rozprzestrzeniania się w sieciach biznesowych. Jednak według ZDNet nazwa GandCrab może pochodzić od jednego z jego twórców, który posługuje się w Internecie pseudonimem "Crab" lub "Gandcrab".

GandCrab nie infekuje maszyn w Rosji ani w krajach byłego Związku Radzieckiego, co wskazuje na to, że autor lub autorzy mają siedzibę w tym regionie. Niewiele więcej wiadomo o załodze GandCrab.

GandCrab podąża za modelem biznesowym marketingu afiliacyjnego, znanym również jako Ransomware-as-a-Service (RaaS), w którym cyberprzestępcy niskiego szczebla wykonują ciężką pracę polegającą na znajdowaniu nowych ofiar, podczas gdy autorzy zagrożeń mogą swobodnie majstrować i ulepszać swoje dzieło.

Legalne firmy cały czas stosują modele afiliacyjne, w szczególności Amazon. Załóżmy na przykład, że prowadzisz bloga, na którym recenzujesz sprzęt elektroniczny - słuchawki, smartfony, laptopy, komputery itp. Każda recenzja zawiera unikalny link, który umożliwia odwiedzającym zakup prezentowanego produktu na Amazon. W zamian za odesłanie klienta do Amazon otrzymujesz procent od purchase price.

W przypadku GandCrab autorzy zagrożenia udostępniają swoją technologię innym przedsiębiorczym cyberprzestępcom (tj. podmiotom stowarzyszonym). Stamtąd to partnerzy muszą wymyślić, w jaki sposób znajdą nowych klientów (tj. ofiary). Wszelkie zapłacone okupy są dzielone między podmiotem stowarzyszonym a załogą GandCrab w stosunku 60/40 lub nawet 70/30 w przypadku najlepszych podmiotów stowarzyszonych.

Brian Krebs, dziennikarz zajmujący się cyberbezpieczeństwem, donosi, że jeden z topowych sprzedawców zarobił 125 000 dolarów prowizji w ciągu jednego miesiąca.

Korzystając z modelu afiliacyjnego, przestępcy z ograniczoną wiedzą techniczną są w stanie włączyć się do akcji ransomware. A ponieważ przestępcy niskiego szczebla są odpowiedzialni za znajdowanie i infekowanie maszyn, twórcy GandCrab mogą skupić się na poprawianiu swojego oprogramowania, dodawaniu nowych funkcji i ulepszaniu technologii szyfrowania. W sumie istnieje pięć różnych wersji GandCrab.

Po infekcji na komputerze ofiary umieszczane są w widocznym miejscu informacje o okupie, które kierują ją do strony internetowej na Dark Web (ukryta część sieci, do której przeglądania potrzebna jest specjalna przeglądarka).

Lądując na anglojęzycznej wersji strony, ofiarom wyświetlany jest najeżony literówkami komunikat "WELCOME! ŻAŁUJEMY, ALE WSZYSTKIE TWOJE PLIKI ZOSTAŁY ZAINFEKOWANE!".

Późniejsze wersje strony z okupem przedstawiają Pana Krabsa z animowanego programu dla dzieci "Spongebob Kanciastoporty". Najwyraźniej cyberprzestępcy nie przejmują się zbytnio naruszeniami praw autorskich.

Aby rozwiać wszelkie obawy przed zapłaceniem okupu, GandCrab pozwala ofiarom odszyfrować jeden wybrany plik za darmo.

Płatności za GandCrab są dokonywane za pośrednictwem niejasnej kryptowaluty o nazwie Dash, cenionejprzez cyberprzestępców za jej ekstremalny nacisk na prywatność. Żądania okupu są ustalane przez partnera, ale zwykle mieszczą się w przedziale od 600 do 600 000 dolarów. Po dokonaniu płatności ofiary mogą natychmiast pobrać deszyfrator GandCrab i odzyskać dostęp do swoich plików.

Jeśli ofiary mają jakiekolwiek problemy z zapłaceniem okupu lub pobraniem narzędzia deszyfrującego, GandCrab zapewnia całodobową "bezpłatną" pomoc na czacie online.

"GandCrab podąża za modelem biznesowym marketingu afiliacyjnego, znanym również jako Ransomware-as-a-Service (RaaS), w którym cyberprzestępcy niskiego szczebla wykonują ciężką pracę polegającą na znajdowaniu nowych ofiar, podczas gdy autorzy zagrożeń mogą swobodnie majstrować i ulepszać swoje dzieło".

Jaka jest historia GandCrab?

Byłbyś w błędzie, gdybyś myślał, że oprogramowanie ransomware jest najnowszym wynalazkiem. W rzeczywistości wszystkie formy oprogramowania ransomware, w tym GandCrab, są zgodne z podstawowym szablonem ustanowionym trzydzieści lat temu przez wczesną formę wirusa komputerowego.

Pierwszy proto-ransomware pojawił się w 1989 roku - dosłownie docierając do skrzynek pocztowych ofiar. Znany jako wirus komputerowy AIDS, rozprzestrzeniał się za pośrednictwem dyskietki 5,25" wysyłanej do ofiar pocztą tradycyjną. Dyskietka była oznaczona jako "AIDS Information" i zawierała krótką ankietę mającą na celu zmierzenie ryzyka złapania wirusa AIDS (biologicznego).

Załadowanie ankiety uruchamiało wirusa, po czym wirus pozostawał uśpiony przez kolejne 89 uruchomień. Po uruchomieniu komputera po raz 90. ofiary otrzymywały na ekranie powiadomienie z żądaniem zapłaty za "dzierżawę oprogramowania". Jeśli ofiary próbowały uzyskać dostęp do swoich plików, okazywało się, że wszystkie ich nazwy zostały zakodowane.

Płatności okupu miały być wysyłane do skrytki pocztowej w Panamie, a w zamian ofiary otrzymywały "pakiet oprogramowania odnawiającego", który odwracał quasi-szyfrowanie.

Metoda działania GandCrab i innych współczesnych zagrożeń ransomware pozostaje stosunkowo niezmieniona od czasów wirusa komputerowego AIDS. Jedyna różnica polega na tym, że dzisiejsi cyberprzestępcy dysponują ogromnym arsenałem zaawansowanych technologii, za pomocą których mogą atakować, infekować i padać ofiarą konsumentów.

Po raz pierwszy zaobserwowany w styczniu 2018 roku, GandCrab rozprzestrzeniał się za pośrednictwem złośliwych reklam (zwanych również malvertisingiem) i fałszywych wyskakujących okienek serwowanych przez zainfekowane strony internetowe. Po wylądowaniu na złośliwej stronie ofiary otrzymywały ostrzeżenie na ekranie z prośbą o pobranie brakującej czcionki. Spowoduje to zainstalowanie oprogramowania ransomware.

W tym samym czasie, co kampania infekcji czcionek, GandCrab rozprzestrzeniał się również za pośrednictwem załączników do wiadomości e-mail zawierających złośliwe oprogramowanie (tzw. malspam) wysyłanych z botnetu zhakowanych komputerów (botnety są również wykorzystywane do ataków DDoS ). W podręcznikowym przykładzie podstępu socjotechnicznego wiadomości te zawierały temat "Niezapłacona faktura #XXX". Kierując się strachem, ciekawością lub chciwością, ofiary otwierały wiadomość e-mail i załączoną do niej "fakturę" zawierającą złośliwe oprogramowanie.

Jednak przez większość swojego krótkiego, ale destrukcyjnego działania, GandCrab zazwyczaj rozprzestrzeniał się z jednego komputera na drugi za pośrednictwem czegoś znanego jako zestaw exploitów. Exploity to forma cyberataku, która wykorzystuje słabości lub luki w systemie docelowym w celu uzyskania nieautoryzowanego dostępu do tego systemu. Zestaw exploitów to pakiet plug-and-play różnych technologii zaprojektowanych w celu wykorzystania jednego lub więcej exploitów.

Zespół Malwarebytes Labs poinformował o co najmniej czterech różnych zestawach exploitów wykorzystywanych do rozprzestrzeniania GandCrab, o których można przeczytać:

W lutym 2018 roku, miesiąc po tym, jak GandCrab został po raz pierwszy zauważony na wolności, firma Bitdefender zajmująca się cyberbezpieczeństwem wydała bezpłatne narzędzie deszyfrujące GandCrab. Skłoniło to autorów GandCrab do wydania nowej wersji oprogramowania ransomware z nową technologią szyfrowania. Obecnie najnowsza wersja narzędzia deszyfrującego działa z wersjami GandCrab 1, 4, 5.01 i 5.2. Do dziś nie ma darmowego narzędzia deszyfrującego dostępnego dla GandCrab w wersjach 2 i 3.

W październiku 2018 r. ofiara syryjskiej wojny domowej nazwała twórców GandCrab "bezdusznymi" za zaszyfrowanie zdjęć jego zmarłych dzieci. W odpowiedzi ekipa GandCrab opublikowała klucz deszyfrujący dla wszystkich ofiar GandCrab znajdujących się w Syrii i dodała Syrię do listy krajów, które nie są celem ransomware GandCrab.

Chcą 600 dolarów za oddanie mi moich dzieci, właśnie to zrobili, zabrali mi moich chłopców za jakieś brudne pieniądze. Jak mam im zapłacić 600 dolarów, skoro ledwo starcza mi na jedzenie dla mnie i mojej żony?
- جميل سليمان (@kvbNDtxL0kmIqRU) Październik 16, 2018

W styczniu 2019 r. po raz pierwszy zaobserwowano podmioty stowarzyszone wykorzystujące tak zwany atak z użyciem protokołu zdalnego pulpitu (RDP). W przypadku tego rodzaju ataku sprawcy skanują daną sieć w poszukiwaniu systemów skonfigurowanych do zdalnego dostępu; to znaczy systemu, do którego użytkownik lub administrator może się zalogować i kontrolować z innej lokalizacji. Gdy atakujący znajdą system skonfigurowany do zdalnego dostępu, spróbują odgadnąć dane logowania przy użyciu listy popularnych nazw użytkowników i haseł (inaczej atak siłowy lub słownikowy).

W tym samym czasie oddziały GandCrab wykorzystały długi, ciężki sezon grypowy (21 tygodni), rozprzestrzeniając oprogramowanie ransomware za pośrednictwem wiadomości phishingowych rzekomo pochodzących od Centrów Kontroli i Zapobiegania Chorobom (CDC), noszących temat "Ostrzeżenie przed pandemią grypy". Otwarcie załączonego dokumentu Word zawierającego złośliwe oprogramowanie inicjowało infekcję ransomware.

Dzięki armii podmiotów stowarzyszonych, zróżnicowanej metodologii ataków i regularnym aktualizacjom kodu, GandCrab szybko stał się najczęściej wykrywanym oprogramowaniem ransomware wśród celów biznesowych i konsumenckich w 2018 r., jak podano wraporcie Malwarebytes Labs State of Malware.

Pomimo swojego sukcesu, a może właśnie dlatego, GandCrab zakończył działalność w maju 2019 roku - półtora roku po uruchomieniu. Badacze cyberbezpieczeństwa wysunęli wiele teorii na temat tego, dlaczego tak się stało.

GandCrab nie odniósł takiego sukcesu, na jaki kreowali go jego twórcy. Tak naprawdę nie wiemy, ile pieniędzy zarobiła załoga GandCrab. Ich twierdzenie o zarobkach w wysokości 2 miliardów dolarów może być zawyżone, a oto dlaczego: Badacze cyberbezpieczeństwa opracowali bezpłatne narzędzia deszyfrujące GandCrab dla poprzednich wersji ransomware. Zaledwie dwa tygodnie po tym, jak załoga GandCrab ogłosiła, że wycofuje się z gry, badacze z Bitdefender wydali ostateczne narzędzie deszyfrujące zdolne do odszyfrowania najnowszej wersji GandCrab. Dzięki szerszej świadomości publicznej na temat darmowych narzędzi deszyfrujących, coraz więcej potencjalnych ofiar unika płacenia potencjalnego okupu.

Ekipa GandCrab będzie nadal tworzyć oprogramowanie ransomware lub inne złośliwe oprogramowanie pod inną nazwą. Ogłaszając zaprzestanie działalności, załoga GandCrab może swobodnie dręczyć świat nowymi, przebiegłymi zagrożeniami, poza czujnym okiem badaczy cyberbezpieczeństwa i organów ścigania. Badacze cyberbezpieczeństwa z Malwarebytes poinformowali o nowej odmianie oprogramowania ransomware, która nosi wyraźne podobieństwo do GandCrab.

Znany jako Sodinokibi (aka Sodin, aka REvil), ten ransomware został zauważony na wolności prawie dwa miesiące po tym, jak GandCrab zakończył działalność, a badacze natychmiast porównali go do nieistniejącego już oprogramowania ransomware. Jak na razie nie ma żadnych dowodów na to, że za Sodinokibi stoi załoga GandCrab, ale jest to bezpieczny zakład.

Po pierwsze, Sodinokibi działa zgodnie z tym samym modelem ransomware-as-a-service - ekipa GandCrab posiada i wspiera oprogramowanie, pozwalając każdemu potencjalnemu cyberprzestępcy na korzystanie z niego w zamian za część zysków.

Sodinokibi podąża za tym samym iteracyjnym procesem aktualizacji co GandCrab. Do tej pory pojawiło się sześć wersji Sodinokibi.

Sodinokibi wykorzystuje niektóre z tych samych wektorów infekcji, a mianowicie zestawy exploitów i złośliwe załączniki do wiadomości e-mail. W nowej odsłonie przestępcy stojący za Sodinokibi zaczęli jednak wykorzystywać dostawców usług zarządzanych (MSP) do rozprzestrzeniania infekcji. W sierpniu 2019 r. setki gabinetów dentystycznych w całym kraju stwierdziły, że nie mogą już uzyskać dostępu do swoich danych pacjentów. Atakujący wykorzystali skompromitowanego dostawcę usług zarządzanych, w tym przypadku firmę zajmującą się oprogramowaniem do dokumentacji medycznej, do wdrożenia oprogramowania ransomware Sodinokibi w gabinetach dentystycznych korzystających z oprogramowania do prowadzenia dokumentacji.

Wreszcie, nota okupu i strona płatności Sodinokibi są bardziej niż trochę podobne do tych z GandCrab.

Jak chronić się przed GandCrab

Chociaż zespół Malwarebytes Data Sciences donosi, że wykrywalność GandCrab gwałtownie spada, wciąż mamy do czynienia z Sodinokibi i innymi odmianami ransomware. Biorąc to pod uwagę, oto jak chronić się przed GandCrab i innym oprogramowaniem ransomware.

Twórz kopie zapasowe plików. Dzięki regularnym kopiom zapasowym danych infekcja ransomware staje się niewielką, choć irytującą, niedogodnością. Wystarczy wyczyścić i przywrócić system, by móc żyć dalej

Uważaj na załączniki i linki w wiadomościach e-mail. Jeśli otrzymasz wiadomość e-mail od znajomego, członka rodziny lub współpracownika, która brzmi dziwnie, zastanów się dwa razy. Jeśli wiadomość e-mail pochodzi od firmy, z którą współpracujesz, spróbuj przejść do strony internetowej firmy lub, jeśli jest dostępna, skorzystaj z aplikacji.

Regularnie instaluj poprawki i aktualizacje. Aktualizowanie systemu powstrzyma atakujących przed wykorzystywaniem exploitów, które mogą zostać użyte do uzyskania nieautoryzowanego dostępu do komputera. Exploity, jak być może pamiętasz, są główną metodą, za pomocą której GandCrab infekuje systemy docelowe. Podobnie, jeśli masz na komputerze stare, nieaktualne oprogramowanie, którego już nie używasz - usuń je.

Ograniczenie dostępu zdalnego. Najlepszym sposobem ochrony przed atakami RDP (Remote Desktop Protocol) jest ograniczenie zdalnego dostępu. Zadaj sobie pytanie, czy ten system naprawdę musi być dostępny zdalnie? Jeśli tak, to przynajmniej ogranicz dostęp do użytkowników, którzy naprawdę go potrzebują. Jeszcze lepszym rozwiązaniem jest wdrożenie wirtualnej sieci prywatnej (VPN ) dla wszystkich użytkowników zdalnych, co eliminuje możliwość ataku RDP.

Używaj silnych haseł i nie używaj ich ponownie w różnych witrynach. W przypadku konieczności uzyskania zdalnego dostępu do systemu, należy użyć silnego hasła z uwierzytelnianiem wieloskładnikowym. Zapamiętanie unikalnych haseł do wszystkich używanych witryn i aplikacji jest trudnym, jeśli nie niemożliwym zadaniem. Na szczęście menedżer haseł może to zrobić za Ciebie.

Używaj oprogramowania cyberbezpieczeństwa. Na przykład Malwarebytes Premium for Windows blokuje trojany, wirusy, złośliwe pliki do pobrania, złe linki i fałszywe strony internetowe, dzięki czemu oprogramowanie ransomware, takie jak GandCrab, i inne infekcje złośliwym oprogramowaniem nigdy nie zakorzenią się w systemie.

Jak usunąć GandCrab

Jeśli już padłeś ofiarą GandCrab, istnieje duża szansa, że nie musisz płacić okupu. Zamiast tego wykonaj następujące kroki, aby usunąć GandCrab z komputera.

Pokaż rozszerzenia plików w Windows. Domyślnie Microsoft Windows ukrywa rozszerzenia plików (takie jak .exe i .doc) i musisz zobaczyć te rozszerzenia, zanim przejdziesz do kroku drugiego. Krótko mówiąc, otwórz Eksplorator plików, kliknij kartę Widok, a następnie zaznacz pole Rozszerzenia nazw plików.
Określenie wersji GandCrab. Teraz, gdy możesz zobaczyć rozszerzenia plików, możesz dowiedzieć się, którą wersję GandCrab posiadasz, weryfikując rozszerzenia zaszyfrowanych plików.

GandCrab w wersji 1 ma rozszerzenie .gdcb.
GandCrab w wersji 2 i 3 ma rozszerzenie .crab.
GandCrab w wersji 4 ma rozszerzenie .krab.
GandCrab w wersji 5 daje losowe 5-literowe rozszerzenie.

Pobierz deszyfrator. Jak wspomniano wcześniej w tym artykule, istnieje bezpłatny deszyfrator GandCrab dla wersji GandCrab 1, 4, 5.01 i 5.2. Jeśli twoje rozszerzenia plików pasują do tych wyżej wymienionych wersji, wszystko jest w porządku. Niestety, nie ma darmowego narzędzia deszyfrującego dostępnego dla GandCrab w wersji 2 i 3.

Nie płać okupu. Jeśli zostałeś zainfekowany przez GandCrab w wersji 2 lub 3, możesz ulec pokusie zapłacenia okupu - nie rób tego. Zakładając, że serwery GandCrab nadal działają, FBI, Europol i INTERPOL zalecają, aby nie płacić okupu. Nie ma gwarancji, że odzyskasz swoje pliki, a to oznacza, że jesteś miękkim celem dla przyszłych ataków ransomware.