GandCrab

GandCrab Ransomware ist eine Art von Malware, die die Dateien eines Opfers verschlüsselt und eine Lösegeldzahlung verlangt, um den Zugriff auf die Daten wiederherzustellen. GandCrab zielt auf Verbraucher und Unternehmen mit PCs, auf denen Microsoft Windows läuft.

.st0{fill:#0D3ECC;} MALWAREBYTES KOSTENLOS HERUNTERLADEN

Auch für Windows, iOS, Android, Chromebook und For Business

Am 31. Mai 2019 taten die Cyberkriminellen, die hinter der Ransomware GandCrab stecken, etwas Ungewöhnliches in der Welt der Malware. Sie kündigten an, den Betrieb einzustellen und möglicherweise Millionen von Dollar auf dem Tisch liegen zu lassen.

"Alle guten Dinge haben ein Ende", schrieben sie in einem selbstgefälligen Beitrag, der in einem berüchtigten Cybercrime-Forum erschien. Seit dem Start im Januar 2018 haben die Autoren von GandCrab nach eigenen Angaben mehr als 2 Milliarden US-Dollar an illegalen Lösegeldzahlungen eingenommen und es sei Zeit für den "wohlverdienten Ruhestand".

"Wir haben dieses Geld erfolgreich eingelöst und in verschiedenen Bereichen des weißen Geschäfts legalisiert, sowohl im realen Leben als auch im Internet", heißt es in dem Beitrag weiter. "Wir haben bewiesen, dass es keine Vergeltung gibt, wenn man böse Taten begeht.

Verbundene Partner, die bei der Verbreitung der Ransomware geholfen haben, um einen Anteil am Gewinn zu erhalten, wurden aufgefordert, den Betrieb einzustellen, während die Opfer aufgefordert wurden, jetzt zu zahlen oder ihre verschlüsselten Daten für immer zu verlieren.

Der Beitrag endete mit einem prägnanten Dank an alle Mitglieder der Partnergemeinschaft für "all die harte Arbeit".

Obwohl dies eine unterhaltsame Prahlerei ist, bleiben einige Fragen unbeantwortet. Haben die Macher von GandCrab tatsächlich so viel Geld verdient, wie sie behaupten? Wer sind diese Leute überhaupt und gehen sie wirklich in den Ruhestand? Und was noch wichtiger ist: Ist die Ransomware GandCrab immer noch eine Bedrohung für die Verbraucher?

In diesem Artikel werden wir versuchen, all diese offenen Fragen zu beantworten, Ressourcen für die Opfer bereitzustellen und die Geschichte von GandCrab.f abzuschließen.

Was ist GandCrab?

Die erstmals im Januar 2018 beobachtete Ransomware GandCrab ist eine Art von Malware, die die Dateien der Opfer verschlüsselt und eine Lösegeldzahlung fordert, um den Zugriff auf ihre Daten wiederherzustellen. GandCrab zielt auf Verbraucher und Unternehmen mit PCs, auf denen Microsoft Windows läuft.

Da der Name "GandCrab" wie eine Geschlechtskrankheit klingt, könnte man meinen, dass er etwas mit der infektiösen Natur der Ransomware und ihrer Neigung zur Ausbreitung in Unternehmensnetzwerken zu tun hat. Laut ZDNet könnte der Name GandCrab jedoch von einem seiner Schöpfer abgeleitet sein, der online unter dem Namen "Crab" oder "Gandcrab" auftritt.

GandCrab infiziert keine computer in Russland oder der ehemaligen Sowjetunion - ein starkes Indiz dafür, dass der Autor oder die Autoren in dieser Region ansässig sind. Über die GandCrab-Crew ist sonst wenig bekannt.

GandCrab folgt einem Affiliate-Marketing-Geschäftsmodell, auch bekannt als Ransomware-as-a-Service (RaaS), bei dem Cyberkriminelle auf niedriger Ebene die schwere Arbeit übernehmen, neue Opfer zu finden, während die Autoren der Bedrohung frei sind, an ihrer Kreation zu basteln und sie zu verbessern.

Seriöse Unternehmen setzen immer wieder Affiliate-Modelle ein, vor allem Amazon. Nehmen wir zum Beispiel an, Sie haben einen Blog, in dem Sie elektronische Geräte wie Kopfhörer, Smartphones, Laptops, Computer usw. bewerten. Jede Rezension enthält einen eindeutigen Link, über den die Besucher den vorgestellten Artikel auf Amazon kaufen können. Im Gegenzug dafür, dass Sie den Kunden zu Amazon schicken, erhalten Sie einen Prozentsatz des purchase price.

Im Fall von GandCrab geben die Autoren der Bedrohung ihre Technologie an andere geschäftstüchtige Cyberkriminelle (d. h. Partner) weiter. Von da an liegt es an den Partnern, herauszufinden, wie sie neue Kunden (d. h. Opfer) finden können. Das gezahlte Lösegeld wird zwischen dem Partner und der GandCrab-Crew im Verhältnis 60:40 aufgeteilt, bei Top-Partnern sogar 70:30.

Der Cybersecurity-Journalist Brian Krebs berichtet, dass ein Spitzenreiter im Laufe eines Monats 125.000 Dollar an Provisionen verdient hat.

Mithilfe des Partnerschaftsmodells können auch Kriminelle mit begrenztem technischem Know-how an der Ransomware-Aktion teilnehmen. Und da Kriminelle auf niedriger Ebene für das Auffinden und Infizieren von computern verantwortlich sind, können sich die Schöpfer von GandCrab auf die Überarbeitung ihrer Software, das Hinzufügen neuer Funktionen und die Verbesserung der Verschlüsselungstechnologie konzentrieren. Insgesamt gibt es fünf verschiedene Versionen von GandCrab.

Nach der Infektion werden Erpresserbriefe auf dem Computer des Opfers platziert, die es auf eine Website im Internet leiten. Dark Web (der versteckte Teil des Internets, für den man einen speziellen Browser benötigt).

Wenn die Opfer auf der englischen Version der Website landen, erhalten sie die mit Tippfehlern gespickte Nachricht "WELCOME! ES TUT UNS LEID, ABER ALLE IHRE DATEIEN WURDEN INFIZIERT!"

Spätere Versionen der Lösegeld-Website zeigen Mr. Krabs aus der Zeichentrickserie "Spongebob Schwammkopf". Offenbar sind Cyberkriminelle nicht allzu besorgt über Urheberrechtsverletzungen.

Um etwaige Ängste vor der Zahlung des Lösegelds zu zerstreuen, bietet GandCrab seinen Opfern die Möglichkeit, eine Datei ihrer Wahl kostenlos zu entschlüsseln.

Die Zahlungen für GandCrab erfolgen über eine obskure Kryptowährung namens Dash, dievon Cyberkriminellen wegen ihres extremen Fokus auf die Privatsphäre geschätztwird. Die Lösegeldforderungen werden vom Partner festgelegt, liegen aber normalerweise zwischen 600 und 600.000 US-Dollar. Nach der Zahlung können die Opfer sofort herunterladen das GandCrab-Entschlüsselungsprogramm installieren und erhalten wieder Zugriff auf ihre Dateien.

Wenn Opfer Probleme mit der Zahlung des Lösegelds oder dem Herunterladen Sien des Entschlüsselungsprogramms haben, bietet GandCrab rund um die Uhr einen "kostenlosen" Online-Chat-Support.

"GandCrab folgt einem Affiliate-Marketing-Geschäftsmodell, auch bekannt als Ransomware-as-a-Service (RaaS), bei dem Cyberkriminelle auf niedriger Ebene die schwere Arbeit übernehmen, neue Opfer zu finden, während die Autoren der Bedrohung frei sind, an ihrer Kreation zu basteln und sie zu verbessern."

Was ist die Geschichte von GandCrab?

Es wäre fatal zu glauben, dass Ransomware eine neue Erfindung ist. Tatsächlich folgen alle Formen von Ransomware, einschließlich GandCrab, einer grundlegenden Vorlage, die vor dreißig Jahren von einer frühen Form eines Computervirus festgelegt wurde.

Die erste Proto-Ransomware kam 1989 buchstäblich in den Briefkästen der Opfer an. Bekannt als AIDS-Computervirus, verbreitete sich AIDS über eine 5,25-Zoll-Diskette, die den Opfern per Post zugeschickt wurde. Die Diskette trug die Aufschrift "AIDS Information" und enthielt einen kurzen Fragebogen, mit dem das Risiko einer Person, sich mit dem (biologischen) AIDS-Virus anzustecken, ermittelt werden sollte.

Durch das Laden der Umfrage wurde der Virus ausgelöst, der dann für die nächsten 89 Startvorgänge inaktiv blieb. Beim 90. Mal, wenn der Computer gestartet wurde, erschien eine Meldung auf dem Bildschirm, in der die Opfer aufgefordert wurden, für "Ihre Softwaremiete" zu bezahlen. Wenn die Opfer versuchten, auf ihre Dateien zuzugreifen, mussten sie feststellen, dass alle Dateinamen verschlüsselt worden waren.

Die Lösegeldzahlungen sollten an ein Postfach in Panama geschickt werden, und im Gegenzug erhielten die Opfer ein "Erneuerungssoftwarepaket", das die Quasi-Verschlüsselung rückgängig machen sollte.

Die Arbeitsweise von GandCrab und anderen modernen Ransomware-Bedrohungen ist seit den Tagen des AIDS-Computervirus relativ unverändert geblieben. Der einzige Unterschied besteht darin, dass Cyberkriminelle heute über ein riesiges Arsenal an advanced Technologien verfügen, mit denen sie Verbraucher ansprechen, infizieren und zum Opfer machen können.

Als GandCrab zum ersten Mal im Januar 2018 beobachtet wurde, verbreitete er sich über bösartige Werbung (auch Malvertising genannt) und gefälschte Pop-ups, die von kompromittierten Websites angezeigt wurden. Wenn die Opfer auf einer bösartigen Website landen, erhalten sie eine Meldung auf dem Bildschirm, in der sie aufgefordert werden, herunterladen eine fehlende Schriftart einzugeben. Wenn sie dies tun, wird die Ransomware installiert.

Zur gleichen Zeit wie die Infektionskampagne für Schriftarten verbreitete sich GandCrab auch über mit Malware verseuchte E-Mail-Anhänge (auch Malspam genannt), die von einem Botnet gehackter Computer versendet wurden (Botnets werden auch für DDoS-Angriffe verwendet). In einem Lehrbuchbeispiel für Social-Engineering-Tricks trugen diese E-Mails die Betreffzeile "Unbezahlte Rechnung #XXX". Aus Angst, Neugier oder Gier öffneten die Opfer die E-Mail und die angehängte, mit Malware verseuchte "Rechnung".

Die meiste Zeit seiner kurzen, aber zerstörerischen Karriere verbreitete sich GandCrab jedoch über ein so genanntes Exploit-Kit von einem Computer zum nächsten. Exploits sind eine Form von Cyberangriffen, bei denen Schwachstellen oder Verwundbarkeiten eines Zielsystems ausgenutzt werden, um unbefugten Zugriff auf dieses System zu erlangen. Bei einem Exploit-Kit handelt es sich um ein Plug-and-Play-Paket mit verschiedenen Technologien, die dazu dienen, eine oder mehrere Schwachstellen auszunutzen.

Das Team von Malwarebytes Labs berichtet von mindestens vier verschiedenen Exploit-Kits, die zur Verbreitung von GandCrab verwendet werden:

Im Februar 2018, einen Monat nachdem GandCrab erstmals in freier Wildbahn entdeckt wurde, veröffentlichte das Cybersecurity-Unternehmen Bitdefender ein kostenloses GandCrab-Entschlüsselungstool. Dies veranlasste die Autoren von GandCrab, eine neue Version ihrer Ransomware mit einer neuen Verschlüsselungstechnologie zu veröffentlichen. Zum jetzigen Zeitpunkt funktioniert die neueste Version des Entschlüsselungstools mit den GandCrab-Versionen 1, 4, 5.01 und 5.2. Bis heute gibt es kein kostenloses Entschlüsselungstool für die GandCrab-Versionen 2 und 3.

Im Oktober 2018 bezeichnete ein Opfer des syrischen Bürgerkriegs die Schöpfer von GandCrab als "herzlos", weil sie die Fotos seiner toten Kinder verschlüsselt hatten. Daraufhin gab die GandCrab-Crew den Entschlüsselungsschlüssel für alle GandCrab-Opfer in Syrien frei und fügte Syrien der Liste der Länder hinzu, die nicht von der GandCrab-Ransomware betroffen sind.

Im Januar 2019 wurden erstmals Angreifer mit einem so genannten RDP-Angriff (Remote Desktop Protocol) gesichtet . Bei dieser Art von Angriff scannen die Täter ein bestimmtes Netzwerk nach Systemen, die für den Fernzugriff eingerichtet sind, d. h. nach einem System, bei dem sich ein Benutzer oder Administrator von einem anderen Standort aus anmelden und steuern kann. Sobald die Angreifer ein System gefunden haben, das für den Fernzugriff eingerichtet ist, versuchen sie, die Anmeldedaten mithilfe einer Liste gängiger Benutzernamen und Kennwörter zu erraten (auch als Brute-Force- oder Wörterbuch-Angriff bezeichnet).

Gleichzeitig nutzten die GandCrab-Partner die lange, schwere Grippesaison (21 Wochen), indem sie die Ransomware über Phishing-E-Mails verbreiteten, die angeblich von den Centers for Disease Control and Prevention (CDC) stammten und den Betreff "Warnung vor einer Grippepandemie" trugen. Das Öffnen des angehängten, mit Malware verseuchten Word-Dokuments löste die Ransomware-Infektion aus.

cdc phishing e-mail

Dank seiner Armee von Partnerunternehmen, seiner vielfältigen Angriffsmethoden und seiner regelmäßigen Code-Überarbeitungen wurde GandCrab schnell zum häufigsten Ransomware-Erkennungsprogramm für Unternehmen und Verbraucher im Jahr 2018, wie der Malwarebytes Labs State of Malware Report zeigt.

Trotz oder gerade wegen seines Erfolges hat GandCrab im Mai 2019 - anderthalb Jahre nach dem Start - seinen Dienst quittiert. Cybersecurity-Forscher haben eine Reihe von Theorien darüber aufgestellt, warum.

GandCrab ist nicht so erfolgreich, wie seine Schöpfer es sich vorgestellt haben. Wir wissen nicht wirklich, wie viel Geld die GandCrab-Crew verdient hat. Ihre Behauptung, sie hätten 2 Milliarden Dollar eingenommen, könnte übertrieben sein, und hier ist der Grund dafür: Cybersecurity-Forscher entwickelten kostenlose GandCrab-Entschlüsselungstools für frühere Versionen der Ransomware. Kaum zwei Wochen, nachdem die GandCrab-Crew ihren Rückzug angekündigt hatte, veröffentlichten Forscher von Bitdefender ein letztes Entschlüsselungstool, das die neueste Version von GandCrab entschlüsseln kann. Da die Öffentlichkeit die kostenlosen Entschlüsselungs-Tools besser kennt, vermeiden immer mehr potenzielle Opfer die Zahlung eines möglichen Lösegelds.

Die GandCrab-Crew wird weiterhin Ransomware oder andere Malware unter einem anderen Namen herstellen. Mit der Ankündigung, den Betrieb einzustellen, steht es der GandCrab-Crew frei, die Welt mit hinterhältigen neuen Bedrohungen zu quälen, ohne dass Cyber-Sicherheitsforscher und Strafverfolgungsbehörden ein wachsames Auge darauf haben. Tatsächlich berichteten die Cybersecurity-Forscher von Malwarebytes über einen neuen Stamm von Ransomware, der eine auffällige Ähnlichkeit mit GandCrab aufweist.

Diese Ransomware mit dem Namen Sodinokibi (auch bekannt als Sodin oder REvil) wurde fast zwei Monate nach dem Ende von GandCrab entdeckt, und Forscher zogen sofort einen Vergleich mit der nicht mehr existierenden Ransomware. Bis jetzt gibt es noch keinen Beweis, der die GandCrab-Crew als die Bösewichte hinter Sodinokibi ausweist, aber es ist eine sichere Sache.

Sodinokibi folgt dem gleichen Ransomware-as-a-Service-Modell: Die GandCrab-Crew besitzt und unterstützt die Software und erlaubt es jedem potenziellen Cyberkriminellen, sie gegen eine Gewinnbeteiligung zu nutzen.

Sodinokibi folgt demselben iterativen Aktualisierungsprozess wie GandCrab. Bis heute gibt es sechs Versionen von Sodinokibi.

Sodinokibi nutzt einige der gleichen Infektionsvektoren, nämlich Exploit-Kits und bösartige E-Mail-Anhänge. Neu ist jedoch, dass die Kriminellen hinter Sodinokibi begonnen haben, Managed Service Provider (MSP) zu nutzen, um Infektionen zu verbreiten. Im August 2019 stellten Hunderte von Zahnarztpraxen im ganzen Land fest, dass sie nicht mehr auf ihre Patientendaten zugreifen konnten. Die Angreifer nutzten einen kompromittierten MSP, in diesem Fall ein Softwareunternehmen für medizinische Aufzeichnungen, um die Sodinokibi-Ransomware in Zahnarztpraxen zu verbreiten, die diese Aufzeichnungssoftware verwenden.

Schließlich haben die Lösegeldforderung und die Zahlungsseite von Sodinokibi mehr als nur ein wenig Ähnlichkeit mit denen von GandCrab.

Wie Sie sich vor GandCrab schützen können

Obwohl das Team von Malwarebytes Data Sciences berichtet, dass die Erkennungen von GandCrab stark rückläufig sind, müssen wir uns immer noch mit Sodinokibi und anderen Ransomware-Stämmen auseinandersetzen. Wie Sie sich vor GandCrab und anderer Ransomware schützen können, erfahren Sie hier.

  • Sichern Sie Ihre Dateien. Mit regelmäßigen Datensicherungen wird eine Ransomware-Infektion zu einer kleinen, wenn auch ärgerlichen Unannehmlichkeit. Löschen Sie einfach Ihr System, stellen Sie es wieder her und machen Sie weiter mit Ihrem Leben
  • Seien Sie vorsichtig bei E-Mail-Anhängen und Links. Wenn Sie eine E-Mail von einem Freund, einem Familienmitglied oder einem Kollegen erhalten, die sich seltsam anhört, überlegen Sie zweimal. Wenn die E-Mail von einem Unternehmen stammt, mit dem Sie geschäftlich zu tun haben, versuchen Sie, die Website des Unternehmens aufzurufen oder, falls verfügbar, die App zu verwenden.
  • Führen Sie regelmäßig Patches und Updates durch. Wenn Sie Ihr System auf dem neuesten Stand halten, verhindern Sie, dass Angreifer Exploits ausnutzen, mit denen sie sich unbefugten Zugriff auf Ihren Computer verschaffen können. Exploits sind, wie Sie sich vielleicht erinnern, die Hauptmethode, mit der GandCrab Zielsysteme infiziert. Wenn Sie alte, veraltete Software auf Ihrem Computer haben, die Sie nicht mehr verwenden, sollten Sie diese ebenfalls löschen.
  • Begrenzen Sie den Fernzugriff. Der beste Schutz vor einem RDP-Angriff (Remote Desktop Protocol) besteht darin, den Fernzugriff zu beschränken. Fragen Sie sich, ob der Fernzugriff auf dieses System wirklich notwendig ist. Wenn ja, beschränken Sie den Zugang zumindest auf die Benutzer, die ihn wirklich benötigen. Noch besser ist es, ein virtuelles privates Netzwerk (VPN) für alle Remote-Benutzer einzurichten, da dies die Möglichkeit eines RDP-Angriffs ausschließt.
  • Benutzen Sie sichere Passwörter und verwenden Sie diese nicht standortübergreifend. Für den Fall, dass auf ein System unbedingt aus der Ferne zugegriffen werden muss, sollten Sie ein sicheres Kennwort mit einer mehrstufigen Authentifizierung verwenden. Zugegebenermaßen ist es schwierig, wenn nicht gar unmöglich, sich eindeutige Passwörter für die verschiedenen Websites und Anwendungen zu merken, die Sie nutzen. Zum Glück kann ein Kennwort-Manager diese Aufgabe für Sie übernehmen.

Wie man GandCrab entfernt

Wenn Sie bereits Opfer von GandCrab geworden sind, besteht eine gute Chance, dass Sie das Lösegeld nicht zahlen müssen. Folgen Sie stattdessen diesen Schritten, um GandCrab von Ihrem PC zu entfernen.

  1. Zeigen Sie Dateierweiterungen in Windows an. Standardmäßig blendet Microsoft Windows Dateierweiterungen (wie .exe und .doc) aus, und Sie müssen diese Erweiterungen sehen, bevor Sie mit Schritt zwei fortfahren können. Öffnen Sie also den Datei-Explorer, klicken Sie auf die Registerkarte Ansicht und aktivieren Sie das Kontrollkästchen Dateinamenerweiterungen.
  2. Bestimmen Sie die GandCrab-Version. Da Sie nun Dateierweiterungen sehen können, können Sie herausfinden, welche Version von GandCrab Sie haben, indem Sie die Erweiterungen Ihrer verschlüsselten Dateien überprüfen.
    • GandCrab Version 1 hat die Erweiterung .gdcb.
    • GandCrab Version 2 und 3 hat die Erweiterung .crab.
    • GandCrab Version 4 hat die Erweiterung .krab.
    • GandCrab Version 5 hat eine zufällige Erweiterung mit 5 Buchstaben.
  • herunterladen das Entschlüsselungsprogramm. Wie bereits erwähnt, gibt es einen kostenlosen GandCrab-Entschlüsseler für die GandCrab-Versionen 1, 4, 5.01 und 5.2. Wenn Ihre Dateierweiterungen mit den oben genannten Versionen übereinstimmen, ist alles in Ordnung. Leider gibt es kein kostenloses Entschlüsselungstool für GandCrab Version 2 und Version 3.
  • Bezahlen Sie das Lösegeld nicht. Wenn Sie mit GandCrab Version 2 oder 3 infiziert wurden, könnten Sie versucht sein, das Lösegeld zu zahlen - tun Sie es nicht. Angenommen, die GandCrab-Server sind noch in Betrieb, empfehlen das FBI, Europol und INTERPOL, das Lösegeld nicht zu zahlen. Es gibt keine Garantie, dass Sie Ihre Dateien zurückbekommen, und wenn Sie dies tun, werden Sie zu einem leichten Ziel für zukünftige Ransomware-Angriffe.