GandCrab

GandCrab ransomware - это тип вредоносного ПО, которое шифрует файлы жертвы и требует выкуп за восстановление доступа к данным. GandCrab нацелен на потребителей и компании с компьютерами под управлением Microsoft Windows.

.st0{fill:#0D3ECC;} СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и Для бизнеса

31 мая 2019 года киберпреступники, стоящие за программой-вымогателем GandCrab, сделали нечто необычное для мира вредоносного ПО. Они объявили, что сворачивают свою деятельность и, возможно, оставляют на столе миллионы долларов.

"Всему хорошему приходит конец", - написали они в самодовольном сообщении, появившемся на одном из известных киберпреступных форумов. Авторы GandCrab утверждали, что с момента запуска в январе 2018 года они заработали более 2 миллиардов долларов на незаконных выкупах, и теперь пришло время "уйти на заслуженную пенсию".

"Мы успешно обналичили эти деньги и легализовали их в различных сферах белого бизнеса как в реальной жизни, так и в Интернете", - говорится далее в сообщении. "Мы доказали, что, совершая злые поступки, возмездие не приходит".

Аффилированным партнерам, которые помогали распространять выкупное ПО за долю прибыли, предлагалось свернуть операции, а жертвам - заплатить сейчас или потерять зашифрованные данные навсегда.

В конце сообщения содержалась краткая благодарность всем членам партнерского сообщества за "всю тяжелую работу".

Несмотря на занимательность скромного хвастовства, несколько вопросов остаются без ответа. Действительно ли создатели GandCrab заработали столько денег, сколько заявили? Кто они вообще такие и действительно ли ушли на пенсию? Что еще более важно, представляет ли GandCrab угрозу для потребителей?

В этой статье мы постараемся ответить на все вопросы, предоставить ресурсы для жертв и поставить точку в истории с GandCrab.f

Что такое GandCrab?

Впервые замеченный в январе 2018 года, GandCrab ransomware представляет собой тип вредоносного ПО, которое шифрует файлы жертв и требует выкуп за восстановление доступа к данным. GandCrab нацелен на потребителей и компании с ПК под управлением Microsoft Windows.

Звучащее как венерическое заболевание, название GandCrab может быть связано с инфекционной природой и склонностью этой программы к распространению по бизнес-сетям. Однако, по данным ZDNet, название GandCrab может быть связано с именем одного из его создателей, который в сети пользуется ником "Crab" или "Gandcrab".

GandCrab не заражает компьютеры в России или странах бывшего Советского Союза, что является серьезным признаком того, что автор или авторы находятся в этом регионе. Больше о команде GandCrab известно немного.

GandCrab работает по бизнес-модели партнерского маркетинга, известной как Ransomware-as-a-Service (RaaS), в которой киберпреступники низкого уровня выполняют тяжелую работу по поиску новых жертв, а авторы угрозы могут свободно возиться и совершенствовать свое творение.

Легальные компании постоянно используют партнерские модели, в первую очередь Amazon. Допустим, у вас есть блог, где вы делаете обзоры электроники - наушников, смартфонов, ноутбуков, компьютеров и т. д. Каждый обзор содержит уникальную ссылку, по которой посетители могут купить представленный товар на Amazon. В обмен на то, что вы направили покупателя на Amazon, вы получаете процент от purchase price.

В случае с GandCrab авторы угрозы передают свою технологию другим предприимчивым киберпреступникам (т. е. филиалам). После этого аффилиаты сами решают, как им найти новых клиентов (то есть жертв). Любой выплаченный выкуп делится между аффилиатом и командой GandCrab 60/40 или до 70/30 для лучших аффилиатов.

Журналист Брайан Кребс, специализирующийся на кибербезопасности, сообщает, что один из топов заработал 125 000 долларов в виде комиссионных в течение одного месяца.

Используя партнерскую модель, преступники с ограниченными техническими знаниями могут участвовать в распространении вымогательского ПО. А если за поиск и заражение машин отвечают преступники низкого уровня, создатели GandCrab могут сосредоточиться на доработке своего ПО, добавлении новых функций и совершенствовании технологии шифрования. Всего существует пять различных версий GandCrab.

После заражения на компьютере жертвы на видном месте появляется записка с выкупом, которая направляет ее на веб-сайт в Dark Web (скрытая часть Интернета, для просмотра которой требуется специальный браузер).

Попав на англоязычную версию сайта, жертвы получают сообщение с опечатками "WELCOME! МЫ СОЖАЛЕЕМ, НО ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАРАЖЕНЫ!".

В более поздних версиях веб-сайта с выкупом появился мистер Крабс из детского мультсериала "Губка Боб Квадратные Штаны". Судя по всему, киберпреступники не слишком беспокоятся о нарушении авторских прав.

Чтобы развеять опасения по поводу уплаты выкупа, GandCrab позволяет жертвам бесплатно расшифровать один файл по своему выбору.

Платежи за GandCrab осуществляются с помощью малоизвестной криптовалюты Dash, которую киберпреступники ценятза то, что она крайне чувствительна к конфиденциальности. Сумма выкупа устанавливается партнером, но обычно составляет от 600 до 600 000 долларов. После оплаты жертвы могут немедленно загрузить расшифровщик GandCrab и получить доступ к своим файлам.

Если у жертвы возникнут проблемы с выплатой выкупа или загрузкой инструмента для дешифровки, GandCrab предоставляет круглосуточную бесплатную поддержку в онлайн-чате.

"GandCrab работает по бизнес-модели партнерского маркетинга, известной как Ransomware-as-a-Service (RaaS), в которой киберпреступники низкого уровня выполняют тяжелую работу по поиску новых жертв, а авторы угрозы могут свободно возиться и совершенствовать свое творение".

Какова история GandCrab?

Не стоит думать, что программы-вымогатели - это недавнее изобретение. На самом деле все формы выкупного ПО, включая GandCrab, следуют базовому шаблону, установленному тридцать лет назад одной из ранних форм компьютерного вируса.

Первое прото-трансомваре появилось в 1989 году - в буквальном смысле слова, попав в почтовые ящики жертв. Известный как компьютерный вирус СПИДа, он распространялся с помощью 5,25-дюймовой дискеты, отправленной жертвам по обычной почте. Диск был помечен как "Информация о СПИДе" и содержал короткий опросник, предназначенный для определения риска заражения вирусом СПИДа (биологическим).

Загрузка опроса запускала вирус, после чего он оставался в спящем состоянии в течение следующих 89 загрузок. После запуска компьютера в 90-й раз на экране появлялось уведомление с требованием оплатить "аренду программного обеспечения". Если жертвы пытались получить доступ к своим файлам, то обнаруживали, что все имена файлов были зашифрованы.

Выкупные платежи должны были отправляться на абонентский ящик в Панаме, а взамен жертвы получали "пакет обновлений", который отменял квази-шифрование.

Метод работы GandCrab и других современных угроз выкупа остается относительно неизменным со времен компьютерного вируса СПИДа. Единственное отличие заключается в том, что сегодня киберпреступники располагают огромным арсеналом передовых технологий, с помощью которых они нацеливаются на потребителей, заражают их и делают жертвами.

Впервые GandCrab был замечен в январе 2018 года и распространялся через вредоносную рекламу (так называемую malvertising) и фиктивные всплывающие окна на скомпрометированных веб-сайтах. Попадая на вредоносный сайт, жертвы получали экранное уведомление с предложением загрузить недостающий шрифт. Выполнение этого действия приводило к установке программы-вымогателя.

Одновременно с кампанией по заражению шрифтов GandCrab также распространялся через вложения в электронные письма (так называемый malspam), извергаемые из ботнета взломанных компьютеров (ботнеты также используются для DDoS-атак ). В хрестоматийном примере социальной инженерии эти письма содержали тему "Неоплаченный счет #XXX". Движимые страхом, любопытством или жадностью, жертвы открывали письмо и вложенный в него "счет" с вредоносным ПО.

Однако на протяжении большей части своего короткого, но разрушительного пути GandCrab обычно распространялся с одного компьютера на другой с помощью так называемого набора эксплойтов. Эксплойты - это форма кибератаки, которая использует слабые места или уязвимости в целевой системе для получения несанкционированного доступа к ней. Набор эксплойтов - это готовый пакет различных технологий, предназначенный для использования одного или нескольких эксплойтов.

Команда Malwarebytes Labs сообщила о том, что для распространения GandCrab используется как минимум четыре различных набора эксплойтов, о которых вы можете прочитать:

В феврале 2018 года, через месяц после того, как GandCrab был впервые замечен в дикой природе, компания Bitdefender выпустила бесплатный инструмент для расшифровки GandCrab. Это побудило авторов GandCrab выпустить новую версию своего вымогателя с новой технологией шифрования. На данный момент новейшая версия инструмента для расшифровки работает с GandCrab версий 1, 4, 5.01 и 5.2. Для GandCrab версий 2 и 3 до сих пор не существует бесплатного инструмента для расшифровки.

В октябре 2018 года один из участников гражданской войны в Сирии назвал создателей GandCrab "бессердечными" за то, что они зашифровали фотографии его погибших детей. В ответ команда GandCrab выпустила ключ дешифрования для всех жертв GandCrab, находящихся в Сирии, и добавила Сирию в список стран, на которые не распространяется действие вымогательской программы GandCrab.

В январе 2019 года впервые были замечены аффилированные лица, использующие так называемую атаку по протоколу удаленного рабочего стола (RDP). При таком типе атаки злоумышленники сканируют сеть в поисках систем, настроенных на удаленный доступ, то есть систем, в которые пользователь или администратор может войти и управлять ими из другого места. Найдя систему, настроенную на удаленный доступ, злоумышленники пытаются угадать учетные данные, используя список распространенных имен и паролей (так называемая атака методом грубой силы или по словарю).

В то же время филиалы GandCrab воспользовались затяжным сезоном гриппа (21 неделя), распространяя вымогательскую программу через фишинговые письма якобы от Центров по контролю и профилактике заболеваний (CDC) с темой "Предупреждение о пандемии гриппа". Открытие приложенного к письму документа Word с вредоносным кодом приводило к заражению вымогательской программой.

фишинговое письмо от ЦКЗ

Благодаря армии филиалов, разнообразной методологии атак и регулярным обновлениям кода GandCrab быстро стал самым распространенным средством обнаружения вымогательского ПО среди бизнес- и потребительских целей в 2018 году, как сообщается вотчете Malwarebytes Labs State of Malware.

Несмотря на свой успех, а может быть, и благодаря ему, GandCrab прекратил свою деятельность в мае 2019 года - через полтора года после запуска. Исследователи в области кибербезопасности выдвинули несколько теорий о причинах этого.

Игра GandCrab оказалась не такой успешной, как ее создатели. Мы не знаем, сколько денег заработала команда GandCrab. Заявленная ими сумма в 2 миллиарда долларов может оказаться завышенной, и вот почему: Исследователи в области кибербезопасности разработали бесплатные инструменты для расшифровки GandCrab для предыдущих версий вымогательского ПО. Не прошло и двух недель после того, как команда GandCrab объявила о том, что сворачивает свои дела, как исследователи из Bitdefender выпустили последний инструмент для дешифровки последней версии GandCrab. Благодаря широкой осведомленности общественности о бесплатных инструментах для дешифровки все больше потенциальных жертв избегают платить потенциальный выкуп.

Команда GandCrab продолжит создавать программы-вымогатели и другие вредоносные программы под другим именем. Объявив о прекращении своей деятельности, команда GandCrab может свободно терзать мир новыми коварными угрозами, не обращая внимания на исследователей кибербезопасности и правоохранительные органы. Конечно, исследователи кибербезопасности с сайта Malwarebytes сообщили о новом штамме вымогательского ПО, которое имеет заметное сходство с GandCrab.

Известная как Sodinokibi (она же Sodin, она же REvil), эта программа-вымогатель была замечена в дикой природе спустя почти два месяца после того, как GandCrab прекратил свою деятельность, и исследователи сразу же провели сравнение с исчезнувшей программой-вымогателем. Пока нет никаких доказательств того, что за Sodinokibi стоит команда GandCrab, но можно с уверенностью утверждать, что это именно она.

Для начала Sodinokibi следует той же модели " вымогательство как услуга " - команда GandCrab владеет и поддерживает программное обеспечение, позволяя любому потенциальному киберпреступнику использовать его в обмен на долю прибыли.

Sodinokibi следует тому же итеративному процессу обновления, что и GandCrab. На сегодняшний день существует шесть версий Sodinokibi.

Sodinokibi использует некоторые из тех же векторов заражения, а именно наборы эксплойтов и вредоносные почтовые вложения. Однако преступники, стоящие за Sodinokibi, начали использовать для распространения инфекций провайдеров управляемых услуг (MSP). В августе 2019 года сотни стоматологических клиник по всей стране обнаружили, что больше не могут получить доступ к своим записям пациентов. Злоумышленники использовали взломанного MSP, в данном случае компанию по разработке программного обеспечения для ведения медицинских записей, чтобы распространить вымогательское ПО Sodinokibi по стоматологическим кабинетам, использующим это программное обеспечение для ведения записей.

Наконец, записка о выкупе и сайт оплаты Sodinokibi более чем схожи с GandCrab.

Как защитить себя от GandCrab

Хотя команда Malwarebytes Data Sciences сообщает, что количество обнаружений GandCrab резко сократилось, нам все еще приходится бороться с Sodinokibi и другими видами программ-вымогателей. Тем не менее, вот как защитить себя от GandCrab и других программ-вымогателей.

  • Создавайте резервные копии файлов. При регулярном резервном копировании данных заражение вымогательской программой превращается в небольшое, хотя и досадное неудобство. Просто сотрите и восстановите систему и живите дальше.
  • Опасайтесь вложений и ссылок в электронных письмах. Если вы получили письмо от друга, члена семьи или коллеги по работе, и оно кажется вам странным, подумайте дважды. Если письмо пришло от компании, с которой вы сотрудничаете, попробуйте перейти на сайт компании или, если есть возможность, воспользуйтесь приложением.
  • Регулярно ставьте заплатки и обновления. Обновление системы не позволит злоумышленникам воспользоваться эксплойтами, которые могут быть использованы для получения несанкционированного доступа к вашему компьютеру. Эксплойты, как вы помните, являются основным методом, с помощью которого GandCrab заражает целевые системы. Аналогично, если на вашем компьютере есть старое, устаревшее программное обеспечение, которое вы больше не используете, удалите его.
  • Ограничьте удаленный доступ. Лучший способ защиты от атаки по протоколу удаленного рабочего стола (RDP) - ограничение удаленного доступа. Спросите себя, действительно ли эта система нуждается в удаленном доступе? Если ответ положительный, ограничьте доступ хотя бы для тех пользователей, которым он действительно нужен. Еще лучше внедрить виртуальную частную сеть (VPN) для всех удаленных пользователей - это сведет на нет любую возможность атаки RDP.
  • Используйте надежные пароли и не используйте их повторно на разных сайтах. В случае необходимости удаленного доступа к системе обязательно используйте надежный пароль с многофакторной аутентификацией. Конечно, запоминать уникальные пароли для всех различных сайтов и приложений, которыми вы пользуетесь, - задача сложная, если не сказать невыполнимая. К счастью, менеджер паролей может сделать это за вас.
  • Используйте программное обеспечение для обеспечения кибербезопасности. Например, Malwarebytes Premium для Windows блокирует трояны, вирусы, вредоносные загрузки, плохие ссылки и поддельные веб-сайты, поэтому программы-вымогатели, такие как GandCrab, и другие вредоносные программы никогда не смогут закрепиться в вашей системе.

Как удалить GandCrab

Если вы уже стали жертвой GandCrab, велика вероятность, что вам не придется платить выкуп. Вместо этого выполните следующие шаги, чтобы удалить GandCrab с вашего компьютера.

  1. Покажите расширения файлов в Windows. По умолчанию Microsoft Windows скрывает расширения файлов (например, .exe и .doc), и вам нужно увидеть эти расширения, прежде чем переходить ко второму шагу. Короче говоря, откройте File Explorer, перейдите на вкладку View (Вид), а затем установите флажок File Name Extensions (Расширения имен файлов).
  2. Определите версию GandCrab. Теперь, когда вы можете видеть расширения файлов, вы можете определить версию GandCrab, проверив расширения зашифрованных файлов.
    • GandCrab версии 1 имеет расширение .gdcb.
    • GandCrab версий 2 и 3 имеет расширение .crab.
    • GandCrab версии 4 имеет расширение .krab.
    • GandCrab версии 5 имеет рандомизированное 5-буквенное расширение.
  • Загрузите дешифратор. Как уже упоминалось ранее в этой статье, существует бесплатный расшифровщик GandCrab для версий 1, 4, 5.01 и 5.2. Если расширения ваших файлов соответствуют вышеупомянутым версиям, все в порядке. К сожалению, для GandCrab версий 2 и 3 бесплатного инструмента расшифровки не существует.
  • Не платите выкуп. Если вы заразились GandCrab версии 2 или 3, у вас может возникнуть соблазн заплатить выкуп - не делайте этого. Если серверы GandCrab все еще работают, ФБР, Европол и Интерпол рекомендуют не платить выкуп. Нет никакой гарантии, что вы получите свои файлы обратно, и это делает вас легкой мишенью для будущих атак вымогателей.