GandCrab

Ransomware GandCrab to rodzaj złośliwego oprogramowania, które szyfruje pliki ofiary i żąda zapłaty okupu w zamian za dostęp do danych. GandCrab jest skierowany zarówno do konsumentów, jak i firm korzystających z komputerów z systemem Microsoft Windows.

.st0{fill:#0D3ECC;} POBIERZ MALWAREBYTES ZA DARMO

Także dla Windows, iOS, Android, Chromebook i Dla Biznesu

31 maja 2019 roku cyberprzestępcy stojący za ransomware GandCrab zrobili coś nietypowego w świecie złośliwego oprogramowania. Ogłosili, że kończą działalność, potencjalnie rezygnując z milionów dolarów.

"Wszystko, co dobre, kiedyś się kończy", napisali w autopromocyjnym poście na notorycznym forum cyberprzestępczym. Od rozpoczęcia w styczniu 2018 roku autorzy GandCrab twierdzą, że zgarnęli ponad 2 miliardy dolarów z nielegalnych opłat okupowych i nadszedł czas na "zasłużoną emeryturę".

"Udało nam się wyprać te pieniądze i zalegalizować je w różnych dziedzinach białego biznesu zarówno w realnym życiu, jak i w Internecie", kontynuował post. "Udowodniliśmy, że czyniąc złe rzeczy, nie dosięga cię kara."

Affiliacje, ci, którzy pomagali w rozprzestrzenianiu ransomware w zamian za działkę z zysków, byli zachęcani do zakończenia działalności, podczas gdy ofiary zostały wezwane do szybkiej zapłaty lub ryzyka utraty zaszyfrowanych danych na zawsze.

Post zakończył się zwięzłym podziękowaniem dla wszystkich w społeczności afiliacyjnej za "całą ciężką pracę".

Chociaż jest to zabawna przechwałka, kilka pytań pozostaje bez odpowiedzi. Czy twórcy GandCrab faktycznie zarobili tyle pieniędzy, ile twierdzili? Kim są ci ludzie i czy naprawdę przechodzą na emeryturę? Co ważniejsze, czy ransomware GandCrab wciąż stanowi zagrożenie dla konsumentów?

W tym artykule spróbujemy odpowiedzieć na wszystkie te nurtujące pytania, dostarczyć zasobów dla ofiar i dopisać epilog do historii GandCrab.

Czym jest GandCrab?

Zaobserwowane po raz pierwszy w styczniu 2018 r. oprogramowanie ransomware GandCrab to rodzaj złośliwego oprogramowania, które szyfruje pliki ofiar i żąda zapłaty okupu w celu odzyskania dostępu do ich danych. GandCrab atakuje konsumentów i firmy korzystające z komputerów z systemem Microsoft Windows.

Brzmiąc jak choroba przenoszona drogą płciową, można by pomyśleć, że nazwa taka jak "GandCrab" ma coś wspólnego z zakaźną naturą ransomware i skłonnością do rozprzestrzeniania się w sieciach biznesowych. Jednak według ZDNet nazwa GandCrab może pochodzić od jednego z jego twórców, który posługuje się w Internecie pseudonimem "Crab" lub "Gandcrab".

GandCrab nie infekuje maszyn w Rosji ani w krajach byłego Związku Radzieckiego, co wskazuje na to, że autor lub autorzy mają siedzibę w tym regionie. Niewiele więcej wiadomo o załodze GandCrab.

GandCrab podąża za modelem biznesowym marketingu afiliacyjnego, znanym również jako Ransomware-as-a-Service (RaaS), w którym cyberprzestępcy niskiego szczebla wykonują ciężką pracę polegającą na znajdowaniu nowych ofiar, podczas gdy autorzy zagrożeń mogą swobodnie majstrować i ulepszać swoje dzieło.

Legalne firmy cały czas stosują modele afiliacyjne, w szczególności Amazon. Załóżmy na przykład, że prowadzisz bloga, na którym recenzujesz sprzęt elektroniczny - słuchawki, smartfony, laptopy, komputery itp. Każda recenzja zawiera unikalny link, który umożliwia odwiedzającym zakup prezentowanego produktu na Amazon. W zamian za odesłanie klienta do Amazon otrzymujesz procent od purchase price.

W przypadku GandCrab autorzy zagrożeń udostępniają swoją technologię innym przedsiębiorczym cyberprzestępcom (czyli afiliantom). Od tego momentu to do afiliantów należy znalezienie nowych "klientów" (czyli ofiar). Wszystkie opłaty okupowe są dzielone między afilianta a ekipę GandCrab w stosunku od 60/40 do nawet 70/30 dla najlepszych afiliantów.

Brian Krebs, dziennikarz zajmujący się cyberbezpieczeństwem, donosi, że jeden z topowych sprzedawców zarobił 125 000 dolarów prowizji w ciągu jednego miesiąca.

Korzystając z modelu afiliacyjnego, przestępcy z ograniczoną wiedzą techniczną są w stanie włączyć się do akcji ransomware. A ponieważ przestępcy niskiego szczebla są odpowiedzialni za znajdowanie i infekowanie maszyn, twórcy GandCrab mogą skupić się na poprawianiu swojego oprogramowania, dodawaniu nowych funkcji i ulepszaniu technologii szyfrowania. W sumie istnieje pięć różnych wersji GandCrab.

Po infekcji, notatki z okupem są umieszczane wyraźnie na komputerze ofiary, kierując ją do strony internetowej w tzw. Dark Web (ukrytej części internetu, którą można zobaczyć tylko za pomocą specjalnej przeglądarki).

Na angielskojęzycznej wersji strony ofiarom pokazywana jest pełna literówek wiadomość "WELCOME! WE ARE REGRET, BUT ALL YOUR FILES WAS INFECTED!"

Późniejsze wersje strony z okupem przedstawiają Pana Kraba z animowanego programu dla dzieci "SpongeBob Kanciastoporty". Najwyraźniej cyberprzestępcy niezbyt przejmują się naruszeniami praw autorskich.

Aby rozwiać obawy przed płaceniem okupu, GandCrab pozwala ofiarom na darmowe odszyfrowanie jednego wybranego przez nie pliku.

Płatności GandCrab odbywają się za pomocą mało znanej kryptowaluty o nazwie Dash, cenionej przez cyberprzestępców za jej ekstremalne skupienie na prywatności. Żądania okupu ustala afiliant, ale zwykle mieszczą się w przedziale od 600 do 600 000 dolarów. Po dokonaniu płatności ofiary mogą natychmiast pobrać program deszyfrujący GandCrab i odzyskać dostęp do swoich plików.

Jeśli ofiary mają jakiekolwiek problemy z zapłaceniem okupu lub pobraniem narzędzia deszyfrującego, GandCrab zapewnia całodobową "bezpłatną" pomoc na czacie online.

"GandCrab podąża za modelem biznesowym marketingu afiliacyjnego, znanym również jako Ransomware-as-a-Service (RaaS), w którym cyberprzestępcy niskiego szczebla wykonują ciężką pracę polegającą na znajdowaniu nowych ofiar, podczas gdy autorzy zagrożeń mogą swobodnie majstrować i ulepszać swoje dzieło".

Jaka jest historia GandCrab?

Można by pomyśleć, że ransomware to niedawny wynalazek. W rzeczywistości wszystkie formy ransomware, w tym GandCrab, podążały za podstawowym schematem ustalonym trzydzieści lat temu przez wczesną formę wirusa komputerowego.

Pierwszy proto-ransomware pojawił się w 1989 roku - dosłownie docierając do skrzynek pocztowych ofiar. Znany jako wirus komputerowy AIDS, rozprzestrzeniał się za pośrednictwem dyskietki 5,25" wysyłanej do ofiar pocztą tradycyjną. Dyskietka była oznaczona jako "AIDS Information" i zawierała krótką ankietę mającą na celu zmierzenie ryzyka złapania wirusa AIDS (biologicznego).

Załadowanie ankiety uruchamiało wirusa, po czym wirus pozostawał uśpiony przez kolejne 89 uruchomień. Po uruchomieniu komputera po raz 90. ofiary otrzymywały na ekranie powiadomienie z żądaniem zapłaty za "dzierżawę oprogramowania". Jeśli ofiary próbowały uzyskać dostęp do swoich plików, okazywało się, że wszystkie ich nazwy zostały zakodowane.

Płatności okupu miały być wysyłane na skrytkę pocztową w Panamie, a w zamian ofiary otrzymywały "pakiet aktualizacyjny", który cofał quasi-szyfrowanie.

Metoda działania GandCrab i innych współczesnych zagrożeń ransomware pozostaje stosunkowo niezmieniona od czasów wirusa komputerowego AIDS. Jedyna różnica polega na tym, że dzisiejsi cyberprzestępcy dysponują ogromnym arsenałem zaawansowanych technologii, za pomocą których mogą atakować, infekować i padać ofiarą konsumentów.

Po raz pierwszy zaobserwowany w styczniu 2018 roku, GandCrab rozprzestrzeniał się za pośrednictwem złośliwych reklam (zwanych również malvertisingiem) i fałszywych wyskakujących okienek serwowanych przez zainfekowane strony internetowe. Po wylądowaniu na złośliwej stronie ofiary otrzymywały ostrzeżenie na ekranie z prośbą o pobranie brakującej czcionki. Spowoduje to zainstalowanie oprogramowania ransomware.

W tym samym czasie, co kampania infekcji czcionek, GandCrab rozprzestrzeniał się również za pośrednictwem załączników do wiadomości e-mail zawierających złośliwe oprogramowanie (tzw. malspam) wysyłanych z botnetu zhakowanych komputerów (botnety są również wykorzystywane do ataków DDoS ). W podręcznikowym przykładzie podstępu socjotechnicznego wiadomości te zawierały temat "Niezapłacona faktura #XXX". Kierując się strachem, ciekawością lub chciwością, ofiary otwierały wiadomość e-mail i załączoną do niej "fakturę" zawierającą złośliwe oprogramowanie.

Jednak przez większość swojego krótkiego, ale destrukcyjnego działania, GandCrab zazwyczaj rozprzestrzeniał się z jednego komputera na drugi za pośrednictwem czegoś znanego jako zestaw exploitów. Exploity to forma cyberataku, która wykorzystuje słabości lub luki w systemie docelowym w celu uzyskania nieautoryzowanego dostępu do tego systemu. Zestaw exploitów to pakiet plug-and-play różnych technologii zaprojektowanych w celu wykorzystania jednego lub więcej exploitów.

Zespół Malwarebytes Labs poinformował o co najmniej czterech różnych zestawach exploitów używanych do rozprzestrzeniania GandCrab, o których można przeczytać:

W lutym 2018 roku, miesiąc po tym, jak GandCrab został po raz pierwszy zauważony na wolności, firma Bitdefender zajmująca się cyberbezpieczeństwem wydała bezpłatne narzędzie deszyfrujące GandCrab. Skłoniło to autorów GandCrab do wydania nowej wersji oprogramowania ransomware z nową technologią szyfrowania. Obecnie najnowsza wersja narzędzia deszyfrującego działa z wersjami GandCrab 1, 4, 5.01 i 5.2. Do dziś nie ma darmowego narzędzia deszyfrującego dostępnego dla GandCrab w wersjach 2 i 3.

W październiku 2018 r. ofiara syryjskiej wojny domowej nazwała twórców GandCrab "bezdusznymi" za zaszyfrowanie zdjęć jego zmarłych dzieci. W odpowiedzi ekipa GandCrab opublikowała klucz deszyfrujący dla wszystkich ofiar GandCrab znajdujących się w Syrii i dodała Syrię do listy krajów, które nie są celem ransomware GandCrab.

W styczniu 2019 r. po raz pierwszy zaobserwowano podmioty stowarzyszone wykorzystujące tak zwany atak z użyciem protokołu zdalnego pulpitu (RDP). W przypadku tego rodzaju ataku sprawcy skanują daną sieć w poszukiwaniu systemów skonfigurowanych do zdalnego dostępu; to znaczy systemu, do którego użytkownik lub administrator może się zalogować i kontrolować z innej lokalizacji. Gdy atakujący znajdą system skonfigurowany do zdalnego dostępu, spróbują odgadnąć dane logowania przy użyciu listy popularnych nazw użytkowników i haseł (inaczej atak siłowy lub słownikowy).

Jednocześnie afilianci GandCrab wykorzystali długi, ciężki sezon grypowy (21 tygodni), rozprzestrzeniając ransomware za pośrednictwem phishingowych e-maili rzekomo pochodzących z Centers for Disease Control and Prevention (CDC), z tematem „Ostrzeżenie o pandemii grypy”. Otwarcie załączonego dokumentu Word z malwarem inicjowało infekcję.

cdc phishing email

Dzięki armii afiliantów, różnorodnej metodologii ataków i regularnym rewizjom kodu, GandCrab szybko stał się najczęściej wykrywanym ransomware wśród celów biznesowych i konsumenckich w 2018 roku, jak podano w raporcie State of Malware od Malwarebytes Labs.

Pomimo swojego sukcesu, a może właśnie dlatego, GandCrab zakończył działalność w maju 2019 roku - półtora roku po uruchomieniu. Badacze cyberbezpieczeństwa wysunęli wiele teorii na temat tego, dlaczego tak się stało.

GandCrab nie odniósł takiego sukcesu, na jaki kreowali go jego twórcy. Tak naprawdę nie wiemy, ile pieniędzy zarobiła załoga GandCrab. Ich twierdzenie o zarobkach w wysokości 2 miliardów dolarów może być zawyżone, a oto dlaczego: Badacze cyberbezpieczeństwa opracowali bezpłatne narzędzia deszyfrujące GandCrab dla poprzednich wersji ransomware. Zaledwie dwa tygodnie po tym, jak załoga GandCrab ogłosiła, że wycofuje się z gry, badacze z Bitdefender wydali ostateczne narzędzie deszyfrujące zdolne do odszyfrowania najnowszej wersji GandCrab. Dzięki szerszej świadomości publicznej na temat darmowych narzędzi deszyfrujących, coraz więcej potencjalnych ofiar unika płacenia potencjalnego okupu.

Ekipa GandCrab będzie nadal tworzyć ransomware lub inne złośliwe oprogramowanie pod inną nazwą. Ogłaszając zakończenie działalności, załoga GandCrab ma wolną rękę, aby dręczyć świat nowymi, przebiegłymi zagrożeniami, poza czujnym okiem badaczy cyberbezpieczeństwa i organów ścigania. I rzeczywiście, badacze z Malwarebytes zgłosili nową wersję ransomware, która miała widoczne podobieństwa do GandCrab.

Znany jako Sodinokibi (aka Sodin, aka REvil), ten ransomware został zauważony na wolności prawie dwa miesiące po tym, jak GandCrab zakończył działalność, a badacze natychmiast porównali go do nieistniejącego już oprogramowania ransomware. Jak na razie nie ma żadnych dowodów na to, że za Sodinokibi stoi załoga GandCrab, ale jest to bezpieczny zakład.

Po pierwsze, Sodinokibi działa zgodnie z tym samym modelem ransomware-as-a-service - ekipa GandCrab posiada i wspiera oprogramowanie, pozwalając każdemu potencjalnemu cyberprzestępcy na korzystanie z niego w zamian za część zysków.

Sodinokibi podąża za tym samym iteracyjnym procesem aktualizacji co GandCrab. Do tej pory pojawiło się sześć wersji Sodinokibi.

Sodinokibi wykorzystuje niektóre z tych samych wektorów infekcji, a mianowicie zestawy exploitów i złośliwe załączniki do wiadomości e-mail. W nowej odsłonie przestępcy stojący za Sodinokibi zaczęli jednak wykorzystywać dostawców usług zarządzanych (MSP) do rozprzestrzeniania infekcji. W sierpniu 2019 r. setki gabinetów dentystycznych w całym kraju stwierdziły, że nie mogą już uzyskać dostępu do swoich danych pacjentów. Atakujący wykorzystali skompromitowanego dostawcę usług zarządzanych, w tym przypadku firmę zajmującą się oprogramowaniem do dokumentacji medycznej, do wdrożenia oprogramowania ransomware Sodinokibi w gabinetach dentystycznych korzystających z oprogramowania do prowadzenia dokumentacji.

W końcu notatka okupu i strona płatności Sodinokibi przypominają te z GandCrab.

Jak chronić się przed GandCrab

Chociaż zespół Data Sciences w Malwarebytes informuje, że wykrywalność GandCrab wyraźnie spada, nadal musimy stawić czoła Sodinokibi i innym odmianom ransomware. Powiedziawszy to, oto jak chronić się przed GandCrab i innymi oprogramowaniami ransomware.

  • Twórz kopie zapasowe swoich plików. Regularne tworzenie kopii danych sprawia, że infekcja ransomware staje się niewielkim, choć irytującym problemem. Wystarczy zresetować system i przywrócić pliki z kopii zapasowej, a potem wrócić do zwykłych czynności.
  • Uważaj na załączniki i linki w e-mailach. Jeśli otrzymujesz e-mail od znajomego, członka rodziny lub współpracownika i coś wygląda podejrzanie — zastanów się dwa razy. Jeśli e-mail pochodzi od firmy, z którą współpracujesz, spróbuj przejść bezpośrednio na stronę internetową firmy lub, jeśli jest dostępna, użyj aplikacji.
  • Regularnie instaluj poprawki i aktualizacje. Utrzymanie systemu w aktualnym stanie uniemożliwi atakującym wykorzystanie luk, które mogą prowadzić do nieautoryzowanego dostępu do twojego komputera. Jak może pamiętasz, wykorzystanie luk to główny sposób infekcji systemów docelowych przez GandCrab. Podobnie, jeśli masz na komputerze stare, nieaktualne oprogramowanie, którego już nie używasz — usuń je.
  • Ogranicz dostęp zdalny. Najlepszym sposobem ochrony przed atakiem przy użyciu protokołu RDP (Remote Desktop Protocol) jest ograniczenie dostępu zdalnego. Zadaj sobie pytanie, czy ten system naprawdę potrzebuje zdalnego dostępu? Jeśli odpowiedź brzmi tak, przynajmniej ogranicz dostęp do użytkowników, którzy naprawdę go potrzebują. Jeszcze lepiej, wdrożyć wirtualną sieć prywatną (VPN) dla wszystkich zdalnych użytkowników, eliminując w ten sposób możliwość ataku RDP.
  • Używaj silnych haseł i nie używaj tych samych haseł na różnych stronach. W przypadku, gdy system koniecznie musi być dostępny zdalnie, upewnij się, że używasz silnego hasła z uwierzytelnianiem wieloskładnikowym. Zapamiętanie unikalnych haseł do wszystkich różnych witryn i aplikacji, z których korzystasz, jest zadaniem trudnym, jeśli nie niemożliwym. Na szczęście menedżer haseł może zrobić to za ciebie.

Jak usunąć GandCrab

Jeśli już padłeś ofiarą GandCrab, istnieje duża szansa, że nie musisz płacić okupu. Zamiast tego, wykonaj poniższe kroki, aby usunąć GandCrab z twojego komputera.

  1. Pokaż rozszerzenia plików w Windows. Domyślnie Microsoft Windows ukrywa rozszerzenia plików (takie jak .exe i .doc), a musisz je zobaczyć, zanim przejdziesz do drugiego kroku. W skrócie, otwórz Eksplorator Plików, kliknij zakładkę Widok, a potem zaznacz pole Rozszerzenia Nazw Plików.
  2. Określ wersję GandCrab. Teraz, gdy możesz zobaczyć rozszerzenia plików, możesz ustalić, którą wersję GandCrab posiadasz, weryfikując rozszerzenia na swoich zaszyfrowanych plikach.
    • GandCrab w wersji 1 tworzy rozszerzenie .gdcb.
    • GandCrab w wersjach 2 i 3 tworzy rozszerzenie .crab.
    • GandCrab w wersji 4 tworzy rozszerzenie .krab.
    • GandCrab w wersji 5 dodaje losowe rozszerzenie składające się z 5 liter.
  • Pobierz dekryptor. Jak wspomniano wcześniej, istnieje darmowy dekryptor GandCrab dla wersji 1, 4, 5.01 i 5.2. Jeśli rozszerzenia twoich plików pasują do wspomnianych wersji, masz szczęście. Niestety, nie ma darmowego narzędzia do deszyfrowania dla wersji 2 i 3 GandCrab.
  • Nie płać okupu. Jeśli zostałeś zainfekowany wersją 2 lub 3 GandCrab, możesz być skłonny zapłacić okup — nie rób tego. Zakładając, że serwery GandCrab są nadal sprawne, FBI, Europol i INTERPOL zalecają, by nie płacić okupu. Nie ma gwarancji, że odzyskasz swoje pliki, a tym samym oznaczasz się jako miękki cel dla przyszłych ataków ransomware.