31 мая 2019 года киберпреступники, стоящие за программой-вымогателем GandCrab сделали нечто необычное для мира зловредов. Они объявили, что прекращают свои операции и потенциально оставляют на столе миллионы долларов.
"Все хорошее когда-нибудь заканчивается", написали они в самодовольном посте на известном форуме киберпреступников. С момента запуска в январе 2018 года авторы GandCrab заявили, что получили более 2 миллиардов долларов в виде нелегальных платежей за выкуп, и пора "заслуженно отдохнуть".
"Мы успешно обналичили эти деньги и легализовали их в различных сферах белого бизнеса как в реальной жизни, так и в Интернете", продолжалось в посте. "Мы доказали, что, совершая злые дела, наказание не наступает."
Партнеры по афиллиативной программе, те, кто помогал распространять программу-вымогатель для доли от прибыли, были поощрены закрыть операции, в то время как жертвам было сказано заплатить сейчас или навсегда потерять свои зашифрованные данные.
Запись завершилась лаконичным благодарственным письмом всей сообществу партнеров за "всю тяжелую работу".
Хотя это и было забавное проявление скромного хвастовства, остаются вопросы без ответа. Действительно ли создатели GandCrab заработали столько денег, сколько утверждают? Кто они вообще и действительно ли они уходят на пенсию? И что более важно, представляет ли GandCrab все еще угрозу для потребителей?
В этой статье мы попытаемся ответить на все эти нависшие вопросы, предоставить ресурсы для жертв и подвести итог по истории GandCrab.
Что такое GandCrab?
Впервые замеченный в январе 2018 года, программа-вымогатель GandCrab — это тип вредоносного ПО, который шифрует файлы жертв и требует выкуп за восстановление доступа к их данным. GandCrab нацелен на потребителей и компании с ПК, работающими на Microsoft Windows.
По своему звучанию как болезнь, передающаяся половым путем, можно подумать, что название «GandCrab» как-то связано с инфекционным характером вымогателя и его склонностью к распространению по бизнес-сетям. Однако, по данным ZDNet, имя GandCrab может быть производным от имени одного из его создателей, который использует онлайн псевдоним "Crab" или "Gandcrab".
GandCrab не заражает машины в России или на территории бывшего Советского Союза — сильный показатель того, что автор или авторы базируются в этом регионе. О команде GandCrab мало что известно.
GandCrab следует модели афиллиативного маркетинга, также известной как Ransomware-as-a-Service (RaaS), где низкоуровневые киберпреступники занимаются поиском новых жертв, в то время как авторы угрозы могут совершенствовать свое творение.
Законные компании часто используют партнерские модели, особенно, например, Amazon. Допустим, у вас есть блог, где вы делаете обзоры электроники — наушники, смартфоны, ноутбуки, компьютеры и так далее. Каждый обзор включает уникальную ссылку, которая позволяет посетителям купить данный товар на Amazon. В обмен за привлечение клиента на Amazon, вы получаете процент от сделки.
Что касается GandCrab, то авторы угрозы отдают свою технологию в распоряжение других предприимчивых киберпреступников (т. е. партнеров). Далее все зависит от партнеров, как они найдут новых клиентов (т. е. жертв). Любые выплаченные выкупы делятся между партнером и командой GandCrab 60/40 или до 70/30 для топовых партнеров.
Журналист в области кибербезопасности Брайан Кребс сообщает, что один из топовых партнеров заработал 125 000 долларов комиссионных за месяц.
Используя модель афиллиативного маркетинга, преступники с ограниченным техническим ноу-хау могут войти в действие вымогателей. А поскольку низкоуровневые преступники отвечают за поиск и заражение компьютеров, создатели GandCrab могут сосредоточиться на доработке своего программного обеспечения, добавлении новых функций и улучшении технологии шифрования. Всего существует пять различных версий GandCrab.
После заражения, записки с требованиями выкупа размещаются на видном месте на компьютере жертвы, направляя их на сайт в темном интернете (скрытая часть интернета, для доступа к которой нужен специальный браузер).
При переходе на англоязычную версию сайта жертвы видят сообщение с ошибками "WELCOME! WE ARE REGRET, BUT ALL YOUR FILES WAS INFECTED!"
Поздние версии сайта с требованиями выкупа содержат Мистера Крабса из анимационного детского шоу «Губка Боб Квадратные Штаны». Очевидно, киберпреступников не слишком беспокоят нарушения авторских прав.
Чтобы развеять любые страхи, связанные с уплатой выкупа, GandCrab позволяет жертвам бесплатно расшифровать один файл на их выбор.
Платежи по GandCrab осуществляются через малоизвестную криптовалюту, называемую Dash, ценимую киберпреступниками за её крайнюю приверженность конфиденциальности. Требования по выкупу устанавливаются партнером, но обычно составляют от 600 до 600 000 долларов. После оплаты жертвы могут сразу же скачать расшифровщик GandCrab и снова получить доступ к своим файлам.
Если у жертв возникают проблемы с оплатой выкупа или загрузкой расшифровочного инструмента, GandCrab предоставляет круглосуточную "бесплатную" онлайн-поддержку в чате.
"GandCrab следует модели афиллиативного маркетинга, также известной как Ransomware-as-a-Service (RaaS), где низкоуровневые киберпреступники занимаются поиском новых жертв, в то время как авторы угрозы могут совершенствовать свое творение."
Какая история у GandCrab?
Будет ошибкой думать, что вымогатели — это недавнее изобретение. На самом деле, все формы вымогателей, включая GandCrab, следуют базовому шаблону, установленному тридцать лет назад ранней версией компьютерного вируса.
Первый прототип вымогателя появился в 1989 году — буквально прибыв в почтовые ящики жертв. Известный как вирус СПИД, он распространялся через 5,25-дюймовые дискеты, отправленные жертвам обычной почтой. Дискета была помечена как "Информация о СПИДе" и содержала короткий опрос, разработанный для оценки рисков инфекционных заболеваний (биологического вируса СПИДа).
Запуск опроса инициировал вирус, после чего он оставался бездействующим в течение следующих 89 запусков системы. При 90-м включении компьютера жертвам показывали на экране уведомление с просьбой оплатить "продление лицензии на программное обеспечение". Если жертвы пытались получить доступ к своим файлам, они обнаруживали, что все имена файлов были зашифрованы.
Платежи за выкуп отправлялись на абонентский ящик в Панаме, и взамен жертвы получали "специальный пакет для обновления", который восстанавливал квази-шифрование.
Методы работы GandCrab и других современных угроз вымогателей остались относительно неизменными с тех пор, как появился компьютерный вирус СПИД. Единственное отличие в том, что современные киберпреступники имеют в своем распоряжении обширный арсенал передовых технологий для нацеливания, заражения и нанесения ущерба потребителям.
Впервые замеченный в январе 2018 года, GandCrab распространялся через зловредные объявления (aka малвeртайзинг) и поддельные всплывающие окна на скомпрометированных сайтах. При попадании на зловредный сайт жертвы получали на экран уведомление, побуждающее их скачать отсутствующий шрифт. Установка данного шрифта активировала вымогатель.
В то же время, когда проводилась кампания заражения через шрифты, GandCrab также распространялся через электронные письма с вредоносными вложениями (aka малспам), рассылаемые из ботнета взломанных компьютеров (ботнеты также используются для DDoS атак). Это классический пример социальной инженерии, где заголовок электронного письма звучал как "Неоплаченный счет #XXX". Побуждаемые страхом, любопытством или жадностью, жертвы открывали письмо и прикрепленный, зараженный "счет".
На большую часть своего короткого, но разрушительного существования GandCrab распространялся с одного компьютера на другой с помощью так называемого набора эксплойтов. Эксплойты представляют собой форму кибератаки, которая использует слабые места или уязвимости в целевой системе для получения несанкционированного доступа к этой системе. Набор эксплойтов — это пакет различных технологий, разработанных для использования одного или нескольких эксплойтов.
Команда Malwarebytes Labs зафиксировала как минимум четыре различных эксплойт-комплекта, используемых для распространения GandCrab, о которых вы можете прочитать:
- Программа-вымогатель GandCrab распространяется наборами эксплойтов RIG и GrandSoft (обновлено)
- Vidar и GandCrab: воровская и вымогательская связка, замеченная в дикой природе
- Набор эксплойтов Magnitude переключается на программу-вымогатель GandCrab
В феврале 2018 года, через месяц после того, как GandCrab впервые увидели "в дикой природе", компания Bitdefender выпустила бесплатный инструмент для расшифровки GandCrab. Это побудило авторов GandCrab выпустить новую версию программы-вымогателя с новой технологией шифрования. На данный момент новейшая версия инструмента для расшифровки работает с GandCrab версий 1, 4, 5.01 и 5.2. До сих пор нет бесплатного инструмента для расшифровки GandCrab версий 2 и 3.
В октябре 2018 года жертва гражданской войны в Сирии назвала создателей GandCrab "бессердечными" за шифровку фотографий его погибших детей. В ответ команда GandCrab выпустила ключ для расшифровки для жертв GandCrab в Сирии и добавила Сирию в список стран, не подвергаемых атакам программы-вымогателя GandCrab.
В январе 2019 года партнеры впервые использовали метод атаки, известный как атака через удаленный рабочий стол (RDP). С таким видом атаки злоумышленники сканируют сеть на наличие систем, настроенных для удаленного доступа, то есть таких, к которым пользователь или администратор может подключиться и управлять ими из другой локации. Найдя такую систему, злоумышленники пытаются угадать учетные данные для входа, используя список общих имен пользователей и паролей (aka атака методом грубой силы или словарная атака).
Параллельно партнеры GandCrab воспользовались длительным и сильным сезоном гриппа (21 неделя), распространяя программу-вымогатель через фишинг письма, якобы от Центров по контролю и профилактике заболеваний (CDC), с темой «Предупреждение о пандемии гриппа». Открытие прикрепленного вредоносного документа Word инициировало заражение.

Благодаря своей армаде афиллиатов, разнообразной методологии атак и регулярным ревизиям кода, GandCrab быстро стал наиболее часто обнаруживаемым вирусом-вымогателем среди корпоративных и частных пользователей в 2018 году, как об этом сообщается в отчете Malwarebytes Labs "Состояние вредоносного ПО".
Несмотря на успех, а может быть из-за него, GandCrab ушел с рынка в мае 2019 года — спустя полтора года после запуска. Исследователи в области кибербезопасности выдвинули ряд теорий по этому поводу.
GandCrab не так успешен, как утверждают его создатели. Мы действительно не знаем, сколько денег команда GandCrab заработала. Их заявление о полученных 2 миллиардах долларов может быть преувеличением, и вот почему: исследователи в области кибербезопасности разработали бесплатные инструменты расшифровки для предыдущих версий программы-вымогателя. Спустя чуть менее двух недель после объявления команды GandCrab о завершении их работы, исследователи из Bitdefender выпустили финальный инструмент для расшифровки, способный расшифровывать последние версии программы. С более широкой осведомленностью населения о бесплатных инструментах для расшифровки все больше и больше потенциальных жертв избегают уплаты любого выкупа.
Команда GandCrab продолжит разрабатывать вирусы-вымогатели или другое вредоносное ПО под другим именем. Объявив о прекращении своей деятельности, команда GandCrab получает возможность мучить мир новыми хитрыми угрозами, вне поля зрения исследователей в области кибербезопасности и правоохранительных органов. И точно, специалисты по кибербезопасности из Malwarebytes сообщили о новом варианте вируса-вымогателя, который имеет заметное сходство с GandCrab.
Известна как Sodinokibi (также Sodin или REvil), эта программа-вымогатель была замечена "в дикой природе" почти через два месяца после того, как GandCrab ушел с рынка, и исследователи сразу же связали её с закрытым вымогателем. В настоящее время нет никаких явных доказательств, свидетельствующих о том, что команда GandCrab является злодеями за Sodinokibi, но это вполне вероятно.
Во-первых, Sodinokibi следует той же модели программы-вымогателя как услуги — команда GandCrab владеет и поддерживает программное обеспечение, позволяя любым желающим киберпреступникам использовать его в обмен на долю прибыли.
У Sodinokibi тот же процесс обновлений, что и у GandCrab. На данный момент существует шесть версий Sodinokibi.
Sodinokibi использует некоторые из тех же методов заражения, как эксплойты и вредоносные вложения в письмах. Однако злоумышленники за Sodinokibi начали использовать провайдеров управляемых услуг (MSP) для распространения вируса. В августе 2019 года сотни стоматологий по стране обнаружили, что не могут получить доступ к данным своих пациентов. Атака произошла через скомпрометированный MSP, в данном случае компанию по медицинским записям, чтобы развернуть Sodinokibi в системе стоматологических кабинетов.
Наконец, заметка с требованием выкупа и сайт оплаты Sodinokibi имеют значительное сходство с GandCrab.
Как защитить себя от GandCrab
Хотя команда Data Sciences Malwarebytes сообщает о резком снижении количества обнаружений GandCrab, нам все еще предстоит бороться с Sodinokibi и другими версиями вирусов-вымогателей. Итак, вот как защитить себя от GandCrab и других вирусов-вымогателей.
- Создавайте резервные копии своих файлов. Регулярные резервные копии данных помогут минимизировать ущерб от заражения вирусом-вымогателем. Просто очистите и восстановите систему, и занимайтесь своими делами дальше.
- Будьте осторожны с вложениями и ссылками в письмах. Если вы получили письмо от друга, члена семьи или коллеги, и оно кажется подозрительным — подумайте дважды. Если письмо отправлено от компании, с которой вы работаете, лучше перейти на сайт компании или, если доступно, использовать приложение.
- Регулярно устанавливайте обновления и исправления. Поддержание системы в актуальном состоянии не позволит злоумышленникам использовать уязвимости для несанкционированного доступа к вашему компьютеру. Как вы помните, эксплойты — это основной метод, которым GandCrab заражал целевые системы. Кроме того, если у вас устаревшие программы, которыми вы больше не пользуетесь, — удалите их.
- Ограничьте удаленный доступ. Лучший способ защититься от атак через протокол удаленного рабочего стола (RDP) — ограничить удаленный доступ. Задайте себе вопрос: действительно ли данная система нуждается в удаленном доступе? Если ответ да, то хотя бы ограничьте доступ только для пользователей, которые действительно в этом нуждаются. Ещё лучше — используйте виртуальную частную сеть (VPN) для всех удаленных пользователей, чтобы исключить возможность атаки через RDP.
- Используйте надежные пароли и не повторяйте их на разных сайтах. Если ваша система действительно нуждается в удаленном доступе, обязательно используйте надежный пароль с многофакторной аутентификацией. Да, запомнить уникальные пароли для всех сайтов и приложений не так просто, но менеджер паролей может вам в этом помочь.
- Используйте программное обеспечение для кибербезопасности. Например, Malwarebytes Premium для Windows блокирует трояны, вирусы, вредоносные загрузки, плохие ссылки и поддельные сайты, чтобы такие вредоносные программы, как GandCrab, и другие вирусы никогда не смогли закрепиться на вашей системе.
Как удалить GandCrab
Если вы уже стали жертвой GandCrab, возможно, вам не придется платить выкуп. Вместо этого следуйте этим шагам, чтобы удалить GandCrab с вашего ПК.
- Показывайте расширения файлов в Windows. По умолчанию Microsoft Windows скрывает расширения файлов (например, .exe и .doc), и их нужно будет отобразить, чтобы перейти ко второму шагу. Проще говоря, откройте Проводник, перейдите на вкладку Вид и установите флажок Показывать расширения имен файлов.
- Определите версию GandCrab. Теперь, когда вы видите расширения файлов, вы можете узнать, какая у вас версия GandCrab, проверив расширения ваших зашифрованных файлов.
- Версия GandCrab 1 создает расширение .gdcb.
- Версия GandCrab 2 и 3 создают расширение .crab.
- Версия GandCrab 4 создает расширение .krab.
- Версия GandCrab 5 создает случайное 5-буквенное расширение.