GandCrab

O ransomware GandCrab é um tipo de malware que criptografa os arquivos de uma vítima e exige um pagamento de resgate para que eles possam ter acesso novamente aos seus dados. O GandCrab tem como alvo consumidores e empresas com PCs que usam Microsoft Windows.

FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e Para Empresas

Em 31 de maio de 2019, os cibercriminosos por trás do GandCrab ransomware fizeram algo incomum no mundo do malware. Eles anunciaram que encerrariam as operações e possivelmente deixariam milhões de dólares na mesa.

"Tudo que é bom chega ao fim", escreveram eles em um post autoelogioso em um fórum notório de crimes cibernéticos. Desde o lançamento em janeiro de 2018, os autores do GandCrab afirmaram ter arrecadado mais de 2 bilhões de dólares em pagamentos ilícitos de resgate e era hora de "uma aposentadoria bem merecida".

"Conseguimos sacar esse dinheiro e legalizá-lo em várias esferas de negócios lícitos tanto na vida real quanto na Internet", continuava o post. "Provamos que, ao fazer coisas ruins, a retribuição não vem".

Parceiros afiliados, aqueles que ajudaram a espalhar o ransomware em troca de uma parte dos lucros, foram encorajados a encerrar as operações enquanto as vítimas foram avisadas para pagar agora ou perder seus dados criptografados para sempre.

O post terminou com um agradecimento conciso a todos na comunidade de afiliados por "todo o trabalho árduo".

Embora seja uma combinação de falsa modéstia e arrogância, várias questões permanecem sem resposta. Os criadores do GandCrab realmente ganharam tanto dinheiro quanto disseram? Quem são esses caras e estão realmente se aposentando? Mais importante, o ransomware GandCrab ainda é uma ameaça para os consumidores?

Neste artigo, tentaremos responder a todas essas perguntas persistentes, fornecer recursos para as vítimas e colocar um epílogo na história do GandCrab.

O que é o GandCrab?

Observado pela primeira vez em janeiro de 2018, o ransomware GandCrab é um tipo de malware que criptografa os arquivos das vítimas e exige pagamento de resgate para que possam recuperar o acesso aos seus dados. O GandCrab visa consumidores e empresas com PCs que executam o Microsoft Windows.

Soando como uma doença sexualmente transmissível, pode-se pensar que um nome como "GandCrab" tem algo a ver com a natureza infecciosa do ransomware e sua propensão para se espalhar em redes empresariais. No entanto, de acordo com ZDNet, o nome GandCrab pode ser derivado de um de seus criadores que usa o apelido online "Crab" ou "Gandcrab".

GandCrab não infecta máquinas na Rússia ou na antiga União Soviética—um forte indicador de que o autor ou autores estão baseados na região. Pouco mais se sabe sobre o grupo GandCrab.

GandCrab segue um modelo de negócios de marketing de afiliados, também conhecido como Ransomware-as-a-Service (RaaS), no qual cibercriminosos de baixo nível fazem o trabalho pesado de encontrar novas vítimas enquanto os autores da ameaça são livres para mexer e melhorar sua criação.

Empresas legítimas usam modelos de afiliados o tempo todo, mais notavelmente a Amazon. Por exemplo, digamos que você tem um blog onde você revisa eletrônicos — pense em fones de ouvido, smartphones, laptops, computadores, etc. Cada resenha inclui um link único que permite que visitantes comprem o item destacado na Amazon. Em troca de enviar o cliente para a Amazon, você recebe uma porcentagem do preço de compra.

Quando se trata do GandCrab, os autores da ameaça dão sua tecnologia gratuitamente a outros cibercriminosos empreendedores (ou seja, afiliados). A partir daí, cabe aos afiliados descobrir como encontrarão novos 'clientes' (ou seja, vítimas). Quaisquer resgates pagos são divididos entre o afiliado e a equipe GandCrab na proporção de 60/40 ou até 70/30 para os principais afiliados.

O jornalista de segurança cibernética Brian Krebs relata que um dos principais afiliados ganhou US$ 125.000 em comissões ao longo de um mês.

Usando o modelo de afiliados, criminosos com conhecimentos técnicos limitados podem entrar em ação com ransomware. E com criminosos de baixo nível responsáveis por encontrar e infectar máquinas, os criadores do GandCrab podem se concentrar em revisar seu software, adicionando novos recursos e melhorando sua tecnologia de criptografia. Ao todo, existem cinco versões diferentes do GandCrab.

Após a infecção, notas de resgate são colocadas de forma proeminente no computador da vítima, direcionando-os para um site na Dark Web (a parte oculta da web que você precisa de um navegador especial para acessar).

Ao acessar a versão em inglês do site, as vítimas são mostradas a mensagem cheia de erros de digitação "WELCOME! WE ARE REGRET, BUT ALL YOUR FILES WAS INFECTED!"

Versões posteriores do site de resgate apresentam Mr. Krabs do desenho animado infantil "Spongebob Square Pants". Aparentemente, os cibercriminosos não estão muito preocupados com violações de direitos autorais.

Para amenizar qualquer receio sobre pagar o resgate, o GandCrab permite que as vítimas descriptografem um arquivo de sua escolha gratuitamente.

Os pagamentos do GandCrab são feitos por meio de uma criptomoeda obscura chamada Dash—valorizada pelos cibercriminosos por seu foco extremo na privacidade. As demandas de resgate são definidas pelo afiliado, mas normalmente ficam entre 600 e 600.000 dólares. Após o pagamento, as vítimas podem baixar imediatamente o descriptografador GandCrab e recuperar o acesso a seus arquivos.

Se as vítimas tiverem algum problema para pagar o resgate ou baixar a ferramenta de descriptografia, o GandCrab oferece suporte online "gratuito" 24 horas por dia, 7 dias por semana.

"GandCrab segue um modelo de negócios de marketing de afiliados, também conhecido como Ransomware-as-a-Service (RaaS), no qual cibercriminosos de baixo nível fazem o trabalho pesado de encontrar novas vítimas enquanto os autores da ameaça são livres para mexer e melhorar sua criação."

Qual é a história do GandCrab?

Você estaria errado ao pensar que o ransomware era uma invenção recente. Na verdade, todas as formas de ransomware, incluindo o GandCrab, seguiram um modelo básico estabelecido há trinta anos por uma forma inicial de vírus de computador.

O primeiro proto-ransomware surgiu em 1989—literalmente chegando nas caixas de correio das vítimas. Conhecido como o vírus de computador AIDS, o AIDS se espalhou por meio de disquete de 5,25” enviado às vítimas por correio comum. O disco estava rotulado como “Informações sobre AIDS” e incluía uma breve pesquisa projetada para medir o risco de um indivíduo contrair o vírus da AIDS (o biológico).

Carregar a pesquisa iniciava o vírus, após o qual ele ficava dormente pelas próximas 89 inicializações. Ao iniciar o computador pela 90ª vez, as vítimas eram recebidas com uma notificação na tela solicitando pagamento pelo “seu aluguel de software”. Se as vítimas tentassem acessar seus arquivos, encontrariam todos os nomes de arquivos embaralhados.

Os pagamentos de resgate tinham que ser enviados para uma caixa postal no Panamá e, em troca, as vítimas recebiam um “pacote de renovação de software” que revertia a quase-criptografia.

O modo de operação para o GandCrab e outras ameaças modernas de ransomware permanece relativamente inalterado desde os dias do vírus de computador AIDS. A única diferença é que os cibercriminosos de hoje têm um vasto arsenal de tecnologias avançadas com as quais direcionar, infectar e vitimizar consumidores.

Quando foi observado pela primeira vez em janeiro de 2018, o GandCrab se espalhava por meio de anúncios maliciosos (também conhecidos como malvertising) e pop-ups falsos servidos por sites comprometidos. Ao acessar um site malicioso, as vítimas recebiam um alerta na tela solicitando que elas baixassem uma fonte ausente. Ao fazê-lo, o ransomware seria instalado.

Ao mesmo tempo que a campanha de infecção de fontes, o GandCrab também se espalhava por anexos de e-mail carregados de malware (também conhecidos como malspam) distribuídos por um botnet de computadores hackeados (botnets também são usados para ataques DDoS). Em um exemplo clássico de truque de engenharia social, esses e-mails apresentavam a linha de assunto "Fatura não paga #XXX". Motivados pelo medo, curiosidade ou ganância, as vítimas abriam o e-mail e a "fatura" em anexo carregada de malware.

Durante a maior parte de sua curta, mas destrutiva trajetória, no entanto, o GandCrab normalmente se espalhava de um computador para outro por meio de algo conhecido como kit de exploração. Exploits são uma forma de ataque cibernético que aproveita fraquezas ou vulnerabilidades em um sistema-alvo para obter acesso não autorizado a esse sistema. Um kit de exploração é um pacote plug-and-play de várias tecnologias projetado para aproveitar uma ou mais vulnerabilidades.

A equipe do Malwarebytes Labs relatou ao menos quatro diferentes kits de exploração sendo usados para espalhar o GandCrab, sobre os quais você pode ler:

Em fevereiro de 2018, um mês após o GandCrab ser avistado pela primeira vez na natureza, a empresa de segurança cibernética Bitdefender lançou uma ferramenta gratuita de descriptografia do GandCrab. Isso levou os autores do GandCrab a lançar uma nova versão de seu ransomware com nova tecnologia de criptografia. Atualmente, a versão mais recente da ferramenta de descriptografia funciona em versões do GandCrab 1, 4, 5.01 e 5.2. Até hoje, não há ferramenta de descriptografia gratuita disponível para as versões 2 e 3 do GandCrab.

Em outubro de 2018, uma vítima da Guerra Civil Síria chamou os criadores do GandCrab de "insensíveis" por criptografarem as fotos de seus filhos mortos. Em resposta, a equipe do GandCrab liberou a chave de descriptografia para qualquer vítima do GandCrab localizada na Síria e adicionou a Síria à lista de países não-alvo do ransomware GandCrab.

Eles querem 600 dólares para devolver meus filhos, foi isso que fizeram, levaram meus meninos de mim por algum dinheiro sujo. Como posso pagar 600 dólares se mal tenho dinheiro para colocar comida na mesa para mim e minha esposa?
— جميل سليمان (@kvbNDtxL0kmIqRU) Outubro 16, 2018

Em janeiro de 2019, afiliados foram vistos pela primeira vez usando o que é conhecido como ataque de protocolo de desktop remoto (RDP). Com esse tipo de ataque, os perpetradores escaneiam uma rede dada para sistemas configurados para acesso remoto; ou seja, um sistema que um usuário ou administrador pode acessar e controlar de outro local. Uma vez encontrados os sistemas configurados para acesso remoto, os atacantes tentarão adivinhar as credenciais de login usando uma lista de nomes de usuário e senhas comuns (também conhecido como ataque de força bruta ou dicionário).

Ao mesmo tempo, os afiliados do GandCrab aproveitaram uma longa e severa temporada de gripe (21 semanas) espalhando o ransomware via e-mails de phishing supostamente do Centers for Disease Control and Prevention (CDC), com o assunto "Aviso de pandemia de gripe". Abrir o documento do Word carregado de malware anexo iniciava a infecção por ransomware.

Graças ao seu exército de afiliados, metodologia de ataque diversificada, e revisões regulares de código, o GandCrab rapidamente se tornou a detecção de ransomware mais comum entre alvos de negócios e consumidores em 2018, conforme reportado no Relatório de Estado de Malware da Malwarebytes Labs.

Apesar do seu sucesso, ou talvez por causa disso, o GandCrab encerrou suas atividades em maio de 2019—um ano e meio após o lançamento. Pesquisadores de segurança cibernética imaginaram uma série de teorias sobre o motivo.

GandCrab não é tão bem-sucedido quanto seus criadores alegavam. Nós realmente não sabemos quanto dinheiro a equipe do GandCrab ganhou. Sua alegação de 2 bilhões de dólares em ganhos pode estar inflacionada e aqui está o motivo: Pesquisadores de segurança cibernética desenvolveram ferramentas gratuitas de descriptografia do GandCrab para versões anteriores do ransomware. Pouco mais de duas semanas após a equipe do GandCrab anunciar que estavam se retirando, pesquisadores da Bitdefender lançaram uma ferramenta de descriptografia final capaz de descriptografar a versão mais recente do GandCrab. Com a maior conscientização pública sobre as ferramentas gratuitas de descriptografia, mais e mais potenciais vítimas evitam pagar qualquer resgate.

A equipe do GandCrab continuará a criar ransomware ou outro malware sob um nome diferente. Ao anunciar que cessaram operações, a equipe do GandCrab está livre para atormentar o mundo com novas ameaças ardilosas, fora do olhar atento de pesquisadores de cibersegurança e da lei. E realmente, pesquisadores de cibersegurança da Malwarebytes relataram uma nova cepa de ransomware que apresentava uma semelhança notável com GandCrab.

Conhecido como Sodinokibi (também conhecido como Sodin, também conhecido como REvil), este ransomware foi avistado na natureza quase dois meses depois do fim do GandCrab, e os pesquisadores imediatamente traçaram comparações com o ransomware extinto. Ainda não há uma prova cabal implicando a equipe do GandCrab como os vilões por trás de Sodinokibi, mas é uma aposta segura.

Para começar, o Sodinokibi segue o mesmo modelo de ransomware-as-a-service—a equipe do GandCrab possui e suporta o software, permitindo que qualquer aspirante a cibercriminoso o use em troca de uma parte dos lucros.

O Sodinokibi segue o mesmo processo iterativo de atualização que o GandCrab. Até hoje, houve seis versões do Sodinokibi.

O Sodinokibi emprega alguns dos mesmos vetores de infecção, nomeadamente kits de exploração e anexos de e-mail maliciosos. Em uma nova reviravolta, no entanto, os criminosos por trás do Sodinokibi começaram a usar provedores de serviços gerenciados (MSP) para espalhar infecções. Em agosto de 2019, centenas de consultórios odontológicos em todo o país descobriram que não podiam mais acessar seus registros de pacientes. Os atacantes usaram um MSP comprometido, neste caso, uma empresa de software de registros médicos, para implantar o ransomware Sodinokibi em consultórios odontológicos que utilizavam o software de manutenção de registros.

Finalmente, a nota de resgate do Sodinokibi e o site de pagamento têm mais do que uma pequena semelhança com os do GandCrab.

Como se proteger do GandCrab

Embora a equipe de Ciências de Dados da Malwarebytes relate que as detecções de GandCrab estão em declínio acentuado, ainda temos Sodinokibi e outras cepas de ransomware com as quais lidar. Dito isso, aqui está como se proteger do GandCrab e de outros ransomwares.

Faça backup de seus arquivos. Com backups de dados regulares, uma infecção de ransomware se torna um pequeno, embora irritante, inconveniente. Simplesmente limpe e restaure seu sistema e siga em frente com a sua vida.

Fique atento a anexos e links de emails. Se você receber um email de amigos, familiares ou colegas de trabalho e ele soar estranho — pense duas vezes. Se o email for de uma empresa com a qual você faz negócios, tente acessar o site da empresa ou, se disponível, use o aplicativo.

Atualize e faça patches regularmente. Manter o seu sistema atualizado impedirá que atacantes se aproveitem de explorações que podem ser usadas para obter acesso não autorizado ao seu computador. Talvez você se lembre que explorações são o principal método pelo qual o GandCrab infecta os sistemas-alvo. Da mesma forma, se você tem um software antigo e desatualizado no seu computador que você não usa mais — delete-o.

Limite o acesso remoto. A melhor maneira de se proteger contra um ataque de Protocolo de Área de Trabalho Remota (RDP) é limitar o acesso remoto. Pergunte-se, este sistema realmente precisa ser acessado remotamente? Se a resposta for sim, limite o acesso aos usuários que realmente precisam. Melhor ainda, implemente uma rede privada virtual (VPN) para todos os usuários remotos, assim eliminando qualquer possibilidade de um ataque RDP.

Use senhas fortes e não reutilize senhas em sites diferentes. Se um sistema realmente precisa ser acessado remotamente, certifique-se de usar uma senha forte com autenticação multifator. Admitimos, lembrar senhas únicas para todos os sites e aplicativos que você utiliza é uma tarefa difícil, se não impossível. Felizmente, um gerenciador de senhas pode fazer isso por você.

Use software de cibersegurança. Por exemplo, o Malwarebytes Premium para Windows bloqueia Trojans, vírus, downloads maliciosos, links ruins e sites falsificados para que ransomware, como o GandCrab, e outras infecções de malware nunca possam se enraizar no seu sistema.

Como remover o GandCrab

Se você já caiu vítima do GandCrab, há uma boa chance de que não precise pagar o resgate. Em vez disso, siga estas etapas para remover o GandCrab do seu PC.

Exiba as extensões de arquivo no Windows. Por padrão, o Microsoft Windows oculta extensões de arquivo (como .exe e .doc), e você precisa ver essas extensões antes de prosseguir para o passo dois. Em suma, abra o Explorador de Arquivos, clique na aba 'Exibir' e marque a caixa 'Extensões de Nome de Arquivo'.
Determine a versão do GandCrab. Agora que você pode ver as extensões de arquivo, você pode descobrir qual versão do GandCrab você possui verificando as extensões em seus arquivos criptografados.

A versão 1 do GandCrab dá a extensão .gdcb.
As versões 2 e 3 do GandCrab dão a extensão .crab.
A versão 4 do GandCrab dá a extensão .krab.
A versão 5 do GandCrab dá uma extensão de 5 letras aleatórias.

Baixe o decodificador. Como mencionado anteriormente neste artigo, há um decodificador gratuito do GandCrab para as versões 1, 4, 5.01 e 5.2. Se as extensões dos seus arquivos corresponderem a essas versões mencionadas, você está bem. Infelizmente, não há ferramenta de decodificação gratuita disponível para as versões 2 e 3 do GandCrab.

Não pague o resgate. Se você foi infectado pelas versões 2 ou 3 do GandCrab, você pode ficar tentado a pagar o resgate — não faça isso. Supondo que os servidores do GandCrab ainda estejam funcionando, o FBI, Europol e INTERPOL todos recomendam não pagar o resgate. Não há garantia de que você terá seus arquivos de volta e fazer isso marca você como um alvo fácil para futuros ataques de ransomware.