Od początku lutego spustoszenie sieje nowy wymyślny rodzaj ransomware o nazwie GandCrab. Okazał się on w pewnym stopniu innowacyjny, ponieważ jako pierwszy akceptuje w ramach okupu alternatywne waluty, czego nie robił wcześniej żaden inny ransomware. Co więcej, posiada zróżnicowany sposób rozprzestrzeniania się, który nieustannie się zmienia.
GandCrab reprezentuje nową generację żądających okupu trojanów, które charakteryzują się dobrze zaplanowaną metodą rozpowszechniania, zaawansowanym algorytmem unikania wychwycenia przez antywirusy, niemożliwym do złamania szyfrowaniem oraz solidną infrastrukturą dowodzenia. Biorąc pod uwagę ogólny spadek popularności ransomware na arenie cyberprzestępczości od końca 2017 r., nagłe pojawienie się tak zaawansowanego technologicznie wirusa jak ten jest raczej niezwykłym wydarzeniem. W momencie pisania tego artykułu twórcy stojący za obecną falą okupów wypuścili GandCrab v2.1. Nie różni się on niczym od pierwotnej wersji, z wyjątkiem bardziej elastycznej organizacji rozprzestrzeniania. Tak jak do tej pory, najnowsza wersja złośliwego oprogramowania dodaje rozszerzenie .GDCB do zaszyfrowanych plików i pozostawia plik z instrukcją odzyskania danych o nazwie GDCB-DECRYPT.txt.
Usprawnienie metody dystrybucji jest widoczne gołym okiem. Podczas gdy poprzednia wersja rozprzestrzeniała się wykorzystując exploit kits RIG i GrandSoft, aktualna wersja przedostaje się do komputerów za pośrednictwem złośliwego spamu. Mimo że wydaje się to spadkiem pod względem technicznej złożoności, wskaźnik skuteczności prawdopodobnie się zwiększył. Przestępcy wykorzystują botnet do masowej wysyłki e-maili do potencjalnych ofiar. Wysyłane wiadomości e-mail służące do wyłudzania podszywają się pod faktury i inne podobne dokumenty zatytułowane „Receipt Feb-[ losowe liczby]”. Treść wiadomości jest prozaiczna: „Dokument w załączniku”.
Haczyk kryje się w załączniku zakamuflowanym jako plik PDF. Po otwarciu odbiorcy wyświetla się ekran z captcha, na którym ma potwierdzić, że nie jest robotem. Następnie nieuczciwy obiekt PDF pobiera złośliwy plik Microsoft Word ze strony internetowej butcaketforthen.com i otwiera go. W efekcie pojawia się komunikat „Widok chroniony” i ofiara proszona jest o umożliwienie edycji, tym samym uruchamiając makra. Złośliwe makra z kolei pobierają i uruchamiają skrypt PowerShell, który kończy proces infekcji i uruchamia binarny plik ransomware GandCrab na danym komputerze.
Złośliwe oprogramowanie w pierwszej kolejności atakuje partycje dysku twardego, dyski wymienne i foldery sieciowe w poszukiwaniu potencjalnie wartościowych danych. Przed zaszyfrowaniem wykrytych elementów ransomware zamyka te procesy, które mogą w danym momencie wykorzystywać niektóre z potencjalnych plików-zakładników. Ustala również adres IP ofiary i jej lokalizację, aby wyświetlić te informacje później na stronie odszyfrowywania. Po otrzymaniu publicznego klucza szyfrującego z serwera C2, GandCrab wykonuje szyfrowanie za pomocą asymetrycznego algorytmu kryptograficznego RSA.
Ciekawym produktem ubocznym szyfrowania, oprócz odmowy dostępu, jest dodanie łańcucha .GDCB do każdego zaszyfrowanego pliku. Wirus pozostawia również dokument informujący jak odzyskać pliki, GDCB-DECRYPT.txt, w folderach z zaszyfrowanymi danymi, a także umieszcza kopię na pulpicie. Ofiara jest poinstruowana do odwiedzenia strony „GandCrabDecryptor”. Jest to ukryta w Tor strona przeznaczona do przetwarzania płatności okupu. Okup wynosi 1.54 Dash, kryptowaluta po raz pierwszy stosowana przez twórców oprogramowania ransomware. Bez względu na to, jak wielką pokusą może być zapłacenie przestępcom, odzyskanie danych i kontynuowanie swojego dnia, warto najpierw wypróbować wszystko inne będące w twojej dyspozycji. Zacznij od wykonania poniższych czynności, aby usunąć ransomware GandCrab i sprawdź, czy jest możliwość odzyskania danych.
Usunięcie tego szkodnika może być skutecznie zrealizowane z niezawodnym oprogramowaniem zabezpieczającym. Wykorzystanie techniki automatycznego czyszczenia zapewnia, że wszystkie elementy zakażenia zostaną dokładnie usunięte z systemu.
Rozwiązanie 1: Wykorzystanie oprogramowania do odzyskiwania plików
Ważne jest, aby wiedzieć, że wirus GandCrab tworzy kopie plików i szyfruje je. W międzyczasie, oryginalne pliki zostają usunięte. Istnieją aplikacje, które obecnie mogą odzyskać usunięte dane. Można tutaj wykorzystać narzędzia, takie jak Data Recovery Pro. Najnowsza wersja tego ransomware bierze pod uwagę tendencję do zastosowania bezpiecznego usuwania wirusa, ale w każdym razie warto jest wypróbować tą metodę.
Rozwiązanie 2: Skorzystaj z kopii zapasowych
Przede wszystkim, jest to świetny sposób na odzyskanie plików. Metodę można zastosować, jeśli utworzone zostały kopie zapasowe danych przechowywanych na komputerze. Jeśli tak, to Twoja przezorność się opłacała.
Rozwiązanie 3: Użyj Kopiowania Woluminów w Tle
Jeśli nie wiedziałeś, to system operacyjny tworzy tzw. Kopiowanie Woluminów w Tle każdego pliku dopóki opcja Przywracanie Systemu (System Restore) jest włączona na komputerze. Punkty przywracania są tworzone w określonych odstępach czasu, generowane są również migawki plików, które pojawiają się w tej samej chwili. Należy pamiętać, że ta metoda nie zapewnia przywrócenia najnowszych wersji plików. Na pewno jednak warto jest spróbować. Ten obieg jest wykonalny na dwa sposoby: ręcznie, poprzez zastosowanie automatycznego rozwiązania. Więc najpierw przyjrzyjmy się manualnemu procesowi.
Ponownie, samo usunięcie złośliwego oprogramowania nie prowadzi do zdeszyfrowania plików osobistych. Powyższe metody przywracania danych, mogą lub nie załatwić sprawę, ale samo ransomware nie znajduje się już wewnątrz Twojego komputera. Nawiasem mówiąc, wirus pojawia się z innym złośliwym oprogramowaniem, dlatego na pewno sensowne jest wielokrotne zeskanowanie systemu z automatycznym oprogramowaniem zabezpieczającym w celu upewnienia się, że żadne szkodliwe pozostałości tego wirusa i związane z nimi zagrożenia nie pozostały w rejestrze systemu Windows i innych miejscach.
Pobierz oprogramowanie do skanowania i usuwania ransomware GandCrab