GandCrab

GandCrab-Ransomware ist eine Art Malware, die die Dateien eines Opfers verschlüsselt und Lösegeld verlangt, um wieder Zugang zu den Daten zu erhalten. GandCrab zielt auf Verbraucher und Unternehmen mit PCs ab, die Microsoft Windows ausführen.

MALWAREBYTES KOSTENLOS HERUNTERLADEN

Auch für Windows, iOS, Android, Chromebook und Unternehmen

Am 31. Mai 2019 taten die Cyberkriminellen hinter GandCrab Ransomware etwas Ungewöhnliches in der Malware-Welt. Sie kündigten an, dass sie den Betrieb einstellen und möglicherweise Millionen von Dollar liegen lassen würden.

„Alles Gute muss einmal enden“, schrieben sie in einem selbstgefälligen Post, der in einem berüchtigten Cybercrime-Forum erschien. Seit dem Start im Januar 2018 behaupteten die Autoren von GandCrab, mehr als 2 Milliarden Dollar an illegalen Lösegeldzahlungen eingenommen zu haben, und es sei Zeit „für einen wohlverdienten Ruhestand“.

„Wir haben dieses Geld erfolgreich eingezahlt und es in verschiedenen Bereichen des weißen Geschäfts sowohl im realen Leben als auch im Internet legalisiert“, ging der Post weiter. „Wir haben bewiesen, dass durch das Begehen böser Taten keine Vergeltung erfolgt.“

Partner, die beim Verbreiten der Ransomware für einen Anteil am Gewinn geholfen haben, wurden ermutigt, den Betrieb einzustellen, während den Opfern gesagt wurde, sie sollten jetzt zahlen oder ihre verschlüsselten Daten für immer verlieren.

Der Beitrag endete mit einem herzlichen Dankeschön an alle in der Partnergemeinschaft für „all die harte Arbeit“.

Während es ein unterhaltsames bescheidenes Prahlen ist, bleiben einige Fragen offen. Haben die Ersteller von GandCrab tatsächlich so viel Geld verdient, wie sie behaupteten? Wer sind diese Leute überhaupt und gehen sie wirklich in Rente? Wichtiger noch, stellt die GandCrab-Ransomware immer noch eine Bedrohung für Verbraucher dar?

In diesem Artikel werden wir versuchen, all diese offenen Fragen zu beantworten, Ressourcen für Opfer bereitzustellen und einen Epilog zur Geschichte von GandCrab zu liefern.

Was ist GandCrab?

Erstmals im Januar 2018 beobachtet, ist GandCrab Ransomware eine Art Malware, die die Dateien der Opfer verschlüsselt und Lösegeld verlangt, um wieder Zugang zu den Daten zu erhalten. GandCrab zielt auf Verbraucher und Unternehmen mit PCs, die Microsoft Windows ausführen.

Mit einem Namen, der wie eine Geschlechtskrankheit klingt, könnte man denken, dass „GandCrab“ mit der infektiösen Natur der Ransomware und ihrer Neigung, sich über Firmennetzwerke zu verbreiten, zu tun hat. Laut ZDNet könnte der Name GandCrab jedoch von einem seiner Schöpfer stammen, der online unter dem Pseudonym „Crab“ oder „Gandcrab“ bekannt ist.

GandCrab infiziert keine Rechner in Russland oder der ehemaligen Sowjetunion—ein starkes Indiz dafür, dass der oder die Autoren aus dieser Region stammen. Über das GandCrab-Team ist sonst wenig bekannt.

GandCrab folgt einem Affiliate-Marketing-Geschäftsmodell, auch bekannt als Ransomware-as-a-Service (RaaS), bei dem niedrigstufige Cyberkriminelle die mühsame Arbeit der Suche nach neuen Opfern erledigen, während die Bedrohungsautoren frei sind, ihr Werk zu verbessern.

Seriöse Unternehmen setzen immer wieder Affiliate-Modelle ein, vor allem Amazon. Nehmen wir zum Beispiel an, Sie haben einen Blog, in dem Sie elektronische Geräte wie Kopfhörer, Smartphones, Laptops, Computer usw. bewerten. Jede Rezension enthält einen eindeutigen Link, über den die Besucher den vorgestellten Artikel auf Amazon kaufen können. Im Gegenzug dafür, dass Sie den Kunden zu Amazon schicken, erhalten Sie einen Prozentsatz des purchase price.

In Bezug auf GandCrab geben die Bedrohungsautoren ihre Technologie an andere unternehmenslustige Cyberkriminelle (d.h. Partner) weiter. Von dort aus liegt es an den Partnern zu entscheiden, wie sie neue Kunden (d.h. Opfer) finden. Alle gezahlten Lösegelder werden zwischen dem Partner und dem GandCrab-Team im Verhältnis 60/40 oder bis zu 70/30 für top Partner aufgeteilt.

Laut dem Cybersecurity-Journalisten Brian Krebs erzielte ein Top-Partner in einem Monat 125.000 Dollar an Provisionen.

Mit dem Affiliate-Modell können Kriminelle mit eingeschränktem technischem Wissen in das Ransomware-Geschäft einsteigen. Und da niedrigstufige Kriminelle dafür verantwortlich sind, Maschinen zu finden und zu infizieren, können sich die Ersteller von GandCrab auf die Überarbeitung ihrer Software, das Hinzufügen neuer Funktionen und die Verbesserung der Verschlüsselungstechnologie konzentrieren. Insgesamt gibt es fünf verschiedene Versionen von GandCrab.

Nach einer Infektion werden Erpressungsnachrichten prominent auf dem Computer des Opfers platziert, die sie auf eine Website im Dark Web leiten (der verborgene Teil des Internets, den man nur mit einem speziellen Browser sehen kann).

Auf der englischsprachigen Version der Website sehen die Opfer die fehlerhafte Nachricht „WELCOME! WE ARE REGRET, BUT ALL YOUR FILES WAS INFECTED!“

Spätere Versionen der Erpressungswebsite zeigen Mr. Krabs aus der animierten Kindershow „Spongebob Schwammkopf“. Offensichtlich kümmern sich die Cyberkriminellen nicht besonders um Urheberrechtsverletzungen.

Um eventuelle Bedenken hinsichtlich der Zahlung des Lösegelds zu zerstreuen, erlaubt GandCrab den Opfern, eine Datei ihrer Wahl kostenlos zu entschlüsseln.

GandCrab-Zahlungen erfolgen über eine obskure Kryptowährung namens Dash—bei Cyberkriminellen wegen seines starken Fokus auf Datenschutz geschätzt. Die Lösegeldforderungen werden vom Partner festgelegt, liegen jedoch normalerweise zwischen 600 und 600.000 Dollar. Nach Zahlungseingang können Opfer den GandCrab-Entschlüssler sofort herunterladen und wieder auf ihre Dateien zugreifen.

Wenn Opfer Probleme beim Bezahlen des Lösegelds oder Herunterladen des Entschlüsselungswerkzeugs haben, bietet GandCrab einen 24/7 "kostenlosen" Online-Chat-Support.

"GandCrab folgt einem Affiliate-Marketing-Geschäftsmodell, auch bekannt als Ransomware-as-a-Service (RaaS), bei dem Cyberkriminelle auf niedriger Ebene die schwere Arbeit übernehmen, neue Opfer zu finden, während die Autoren der Bedrohung frei sind, an ihrer Kreation zu basteln und sie zu verbessern."

Was ist die Geschichte von GandCrab?

Man könnte meinen, dass Ransomware eine neuere Erfindung sei. In Wirklichkeit haben alle Formen von Ransomware, einschließlich GandCrab, einem grundlegenden Muster gefolgt, das vor dreißig Jahren von einer frühen Form eines Computervirus festgelegt wurde.

Das erste Prototyp-Ransomware erschien 1989 und kam buchstäblich in den Briefkästen der Opfer an. Bekannt als der AIDS-Computervirus, verbreitete sich AIDS über 5,25" Floppy Disks, die per Post an die Opfer gesendet wurden. Die Disk war mit "AIDS Information" beschriftet und enthielt eine kurze Umfrage, die entworfen wurde, um das Risiko einer Person, das AIDS-Virus (das biologische) zu bekommen, zu messen.

Durch das Laden der Umfrage wurde der Virus ausgelöst, der dann für die nächsten 89 Startvorgänge inaktiv blieb. Beim 90. Mal, wenn der Computer gestartet wurde, erschien eine Meldung auf dem Bildschirm, in der die Opfer aufgefordert wurden, für "Ihre Softwaremiete" zu bezahlen. Wenn die Opfer versuchten, auf ihre Dateien zuzugreifen, mussten sie feststellen, dass alle Dateinamen verschlüsselt worden waren.

Lösegeldzahlungen sollten an ein Postfach in Panama gesendet werden und im Gegenzug erhielten die Opfer ein „Erneuerungspaket“, das die Quasi-Verschlüsselung umkehrte.

Die Betriebsweise von GandCrab und anderen modernen Ransomware-Bedrohungen hat sich seit den Tagen des AIDS-Computervirus kaum verändert. Der einzige Unterschied ist, dass heutige Cyberkriminelle über ein großes Arsenal an fortschrittlichen Technologien verfügen, mit denen sie Verbraucher anvisieren, infizieren und ausbeuten können.

Als GandCrab erstmals im Januar 2018 beobachtet wurde, verbreitete es sich über bösartige Anzeigen (auch bekannt als Malvertising) und gefälschte Pop-ups auf kompromittierten Websites. Beim Besuch einer bösartigen Website erhielten die Opfer einen Bildschirmhinweis, der sie aufforderte, eine fehlende Schriftart herunterzuladen. Dies würde die Ransomware installieren.

Gleichzeitig mit der Schriftarten-Infektionskampagne verbreitete sich GandCrab auch über malware-verseuchte E-Mail-Anhänge (auch bekannt als Malspam), die von einem Botnetz gehackten Computer ausgespuckt wurden (Botnetze werden auch für DDoS-Angriffe verwendet). In einem klassischen Beispiel für Social Engineering-Trickserie enthielten diese E-Mails die Betreffzeile „Unpaid invoice #XXX“. Angespornt durch Angst, Neugier oder Gier öffneten die Opfer die E-Mail und die angehängte, malware-beladene „Rechnung“.

Für den Großteil seines kurzen, aber zerstörerischen Einsatzes verbreitete sich GandCrab jedoch typischerweise von einem Computer zum nächsten durch etwas, das als Exploit-Kit bekannt ist. Exploits sind eine Form des Cyberangriffs, die Schwachstellen oder Verwundbarkeiten in einem Zielsystem ausnutzt, um unerlaubten Zugang zu diesem System zu erlangen. Ein Exploit-Kit ist ein Plug-and-Play-Paket verschiedener Technologien, die darauf abzielen, einen oder mehrere Exploits ausnutzen.

Das Malwarebytes Labs-Team berichtete über mindestens vier verschiedene Exploit-Kits, die zur Verbreitung von GandCrab eingesetzt wurden. Dies können Sie in folgendem Bericht lesen:

Im Februar 2018, ein Monat nachdem GandCrab erstmals in freier Wildbahn entdeckt worden war, veröffentlichte das Cybersicherheitsunternehmen Bitdefender ein kostenloses GandCrab-Entschlüsselungswerkzeug. Dies veranlasste die Ersteller von GandCrab dazu, eine neue Version ihrer Ransomware mit neuer Verschlüsselungstechnologie zu veröffentlichen. Derzeit funktioniert die neueste Version des Entschlüsselungswerkzeugs für die GandCrab-Versionen 1, 4, 5.01 und 5.2. Bis heute gibt es kein kostenloses Entschlüsselungswerkzeug für die GandCrab-Versionen 2 und 3.

Im Oktober 2018 beschuldigte ein Opfer des Syrischen Bürgerkriegs die Ersteller von GandCrab als „herzlos“, da sie die Fotos seiner toten Kinder verschlüsselt hatten. Als Reaktion darauf veröffentlichte das GandCrab-Team den Entschlüsselungsschlüssel für alle GandCrab-Opfer in Syrien und fügte Syrien zur Liste der Länder hinzu, die nicht von der GandCrab-Ransomware angegriffen werden.

Sie wollen 600 Dollar, um mir meine Kinder zurückzugeben, das haben sie getan, sie haben mir meine Jungs für ein bisschen schmutziges Geld weggenommen. Wie kann ich ihnen 600 Dollar zahlen, wenn ich kaum genug Geld habe, um für mich und meine Frau Essen auf den Tisch zu bringen?
- جميل سليمان (@kvbNDtxL0kmIqRU) Oktober 16, 2018

Im Januar 2019 wurden erstmals Partner bei der Verwendung eines so genannten Remote Desktop Protocol (RDP) Angriff beobachtet. Bei dieser Art von Angriff scannen die Täter ein Netzwerk nach Systemen, die für den Fernzugriff eingerichtet sind, d.h. ein System, bei dem sich ein Benutzer oder Administrator von einem anderen Ort aus anmelden und es steuern kann. Sobald Angreifer ein für den Fernzugriff eingerichtetes System gefunden haben, versuchen sie, die Anmeldedaten anhand einer Liste von häufigen Benutzernamen und Passwörtern (auch als Brute-Force- oder Wörterbuchangriff bekannt) zu erraten.

Zur gleichen Zeit nutzten GandCrab-Partner eine lange, schwere Grippesaison (21 Wochen) aus, indem sie die Ransomware über Phishing-E-Mails verbreiteten, die angeblich von den Centers for Disease Control and Prevention (CDC) stammten und den Betreff „Flu pandemic warning“ trugen. Das Öffnen des angehängten, malware-verseuchten Word-Dokuments löste die Ransomware-Infektion aus.

Dank seiner Armee von Partnern, der Vielfalt der Angriffsmethoden und regelmäßigen Code-Überarbeitungen wurde GandCrab schnell zur häufigsten Ransomware-Entdeckung bei Geschäfts- und Verbraucherzielen im Jahr 2018, wie im Malwarebytes Labs State of Malware-Bericht berichtet.

Trotz seines Erfolgs, oder vielleicht gerade deshalb, machte GandCrab im Mai 2019 Schluss—anderthalb Jahre nach dem Start. Cybersicherheitsexperten haben mehrere Theorien darüber geäußert, warum.

GandCrab ist nicht so erfolgreich, wie seine Ersteller es darstellten. Wir wissen nicht wirklich, wie viel Geld das GandCrab-Team verdient hat. Ihre Behauptung von 2 Milliarden Dollar Einnahmen könnte übertrieben sein und hier ist der Grund: Cybersicherheitsexperten haben kostenlose GandCrab-Entschlüsseler für frühere Versionen der Ransomware entwickelt. Kaum zwei Wochen nachdem das GandCrab-Team angekündigt hatte, seine Zelte abzubrechen, veröffentlichten Forscher bei Bitdefender ein endgültiges Entschlüsselungswerkzeug, das die neueste Version von GandCrab entschlüsseln kann. Mit zunehmendem öffentlichen Bewusstsein für die kostenlosen Entschlüsselungstools vermeiden immer mehr potenzielle Opfer die Zahlung eines möglichen Lösegelds.

Die GandCrab-Gruppe wird Ransomware oder andere Schadsoftware unter einem anderen Namen herstellen. Indem sie ankündigen, dass sie den Betrieb eingestellt haben, kann die GandCrab-Gruppe die Welt mit heimtückischen neuen Bedrohungen quälen, außerhalb der wachsamen Augen der Cybersicherheitsforscher und Strafverfolgungsbehörden. Und tatsächlich berichteten Cybersicherheitsforscher von Malwarebytes über einen neuen Ransomware-Stamm, der eine auffällige Ähnlichkeit mit GandCrab aufweist.

Bekannt als Sodinokibi (auch bekannt als Sodin, aka REvil), wurde diese Ransomware fast zwei Monate, nachdem GandCrab das Handtuch geworfen hatte, in der Wildnis entdeckt, und die Forscher zogen sofort Vergleiche zur eingestellten Ransomware. Bislang gibt es keine handfesten Beweise, die die GandCrab-Gruppe als die Verantwortlichen hinter Sodinokibi belasten, aber es ist wahrscheinlich.

Sodinokibi folgt von Anfang an demselben Ransomware-as-a-Service-Modell – die GandCrab-Gruppe besitzt und unterstützt die Software und erlaubt es jedem angehenden Cyberkriminellen, sie im Austausch für einen Teil des Gewinns zu nutzen.

Sodinokibi folgt demselben iterativen Update-Prozess wie GandCrab. Bis jetzt hat es sechs Versionen von Sodinokibi gegeben.

Sodinokibi verwendet einige der gleichen Infektionsvektoren, nämlich Exploit Kits und bösartige E-Mail-Anhänge. In einem neuen Dreh haben die Kriminellen hinter Sodinokibi jedoch begonnen, Managed Service Provider (MSP) zu nutzen, um Infektionen zu verbreiten. Im August 2019 konnten Hunderte von Zahnarztpraxen im ganzen Land plötzlich nicht mehr auf ihre Patientenakten zugreifen. Angreifer nutzten einen kompromittierten MSP, in diesem Fall ein Unternehmen für medizinische Verwaltungssoftware, um die Sodinokibi-Ransomware über die Praxisverwaltungssoftware in Zahnarztpraxen zu verbreiten.

Schließlich ähneln Sodinokibis Erpresserbrief und Bezahlseite mehr als nur ein wenig denen von GandCrab.

Wie Sie sich vor GandCrab schützen können

Obwohl das Malwarebytes Data Sciences Team berichtet, dass GandCrab-Erkennungen stark zurückgegangen sind, gibt es immer noch Sodinokibi und andere Ransomware-Stämme, mit denen wir uns auseinandersetzen müssen. Hier ist also wie Sie sich vor GandCrab und anderer Ransomware schützen können.

Sichern Sie Ihre Dateien. Mit regelmäßigen Datensicherungen wird eine Ransomware-Infektion zu einer kleinen, wenn auch lästigen Unannehmlichkeit. Einfach das System löschen und wiederherstellen und weitermachen.

Seien Sie vorsichtig bei E-Mail-Anhängen und Links. Wenn Sie eine E-Mail von einem Freund, Familienmitglied oder Kollegen erhalten und diese einfach komisch klingt—denken Sie zweimal nach. Wenn die E-Mail von einem Unternehmen stammt, mit dem Sie Geschäfte machen, versuchen Sie, zur Unternehmenswebsite zu navigieren oder, wenn verfügbar, die App zu verwenden.

Regelmäßig patchen und aktualisieren. Wenn Sie Ihr System auf dem neuesten Stand halten, verhindern Sie, dass Angreifer Schwachstellen ausnutzen, die verwendet werden können, um unbefugten Zugriff auf Ihren Computer zu erhalten. Schwachstellen sind, wenn Sie sich erinnern, die Hauptmethode, mit der GandCrab Zielsysteme infiziert. Ähnlich, wenn Sie alte, veraltete Software auf Ihrem Computer haben, die Sie nicht mehr verwenden—löschen Sie sie.

Begrenzen Sie den Fernzugriff. Die beste Möglichkeit, sich vor einem Angriff auf das Remote Desktop Protocol (RDP) zu schützen, besteht darin, den Fernzugriff einzuschränken. Fragen Sie sich, ob dieses System wirklich aus der Ferne zugänglich sein muss. Wenn die Antwort ja lautet, beschränken Sie den Zugriff zumindest auf die Benutzer, die ihn wirklich benötigen. Noch besser, implementieren Sie ein Virtual Private Network (VPN) für alle Remote-Benutzer, damit wird jede Möglichkeit eines RDP-Angriffs ausgeschlossen.

Verwenden Sie starke Passwörter und verwenden Sie keine Passwörter mehrmals auf unterschiedlichen Seiten. Wenn ein System unbedingt aus der Ferne zugänglich sein muss, stellen Sie sicher, dass Sie ein starkes Passwort mit Multi-Faktor-Authentifizierung verwenden. Zugegeben, sich individuelle Passwörter für all die verschiedenen Seiten und Anwendungen zu merken, die Sie nutzen, ist eine schwierige, wenn nicht unmögliche Aufgabe. Glücklicherweise kann ein Passwort-Manager das für Sie erledigen.

Verwenden Sie Cybersicherheitssoftware. Beispielsweise blockiert Malwarebytes Premium für Windows Trojaner, Viren, bösartige Downloads, schlechte Links und gefälschte Websites, sodass Ransomware wie GandCrab und andere Malware-Infektionen niemals auf Ihrem System Fuß fassen können.

Wie man GandCrab entfernt

Wenn Sie bereits Opfer von GandCrab geworden sind, besteht eine gute Chance, dass Sie das Lösegeld nicht zahlen müssen. Befolgen Sie stattdessen diese Schritte, um GandCrab von Ihrem PC zu entfernen.

Dateierweiterungen in Windows anzeigen. Standardmäßig versteckt Microsoft Windows Dateierweiterungen (wie .exe und .doc) und Sie müssen diese Erweiterungen sehen, bevor Sie mit Schritt zwei fortfahren können. Öffnen Sie den Datei-Explorer, klicken Sie auf die Registerkarte Ansicht und aktivieren Sie das Kontrollkästchen Dateinamenerweiterungen.
Bestimmen Sie die GandCrab-Version. Jetzt, da Sie Dateiendungen sehen können, können Sie herausfinden, welche Version von GandCrab Sie haben, indem Sie die Erweiterungen Ihrer verschlüsselten Dateien überprüfen.

GandCrab Version 1 gibt die .gdcb-Erweiterung.
GandCrab Version 2 und 3 geben die .crab-Erweiterung.
GandCrab Version 4 gibt die .krab-Erweiterung.
GandCrab Version 5 gibt eine zufällige 5-Buchstaben-Erweiterung.

Laden Sie den Entschlüsseler herunter. Wie bereits in diesem Artikel erwähnt, gibt es einen kostenlosen GandCrab-Entschlüsseler für GandCrab Versionen 1, 4, 5.01 und 5.2. Wenn Ihre Dateiendungen mit diesen oben genannten Versionen übereinstimmen, sind Sie in Ordnung. Leider gibt es kein kostenloses Entschlüsselungstool für GandCrab Version 2 und Version 3.

Zahlen Sie nicht das Lösegeld. Wenn Sie von GandCrab Version 2 oder Version 3 infiziert wurden, sind Sie vielleicht versucht, das Lösegeld zu zahlen — zahlen Sie nicht. Vorausgesetzt, die GandCrab-Server sind noch in Betrieb, empfehlen das FBI, Europol und INTERPOL alle, das Lösegeld nicht zu zahlen. Es gibt keine Garantie, dass Sie Ihre Dateien zurückbekommen, und Sie werden dadurch als weiches Ziel für zukünftige Ransomware-Angriffe markiert.