GandCrab Ransomware

GandCrab - это, пожалуй, одна из самых известных программ-вымогателей. Ransomware - это вредоносная программа, которая просит жертву заплатить деньги, чтобы восстановить доступ к зашифрованным файлам. Если пользователь не идет на сотрудничество, файлы будут навсегда потеряны.

1 июня 2019 года создатели вымогательской программы GandCrab опубликовали сообщение, в котором заявили, что получили более 2 миллиардов долларов США в качестве выкупа, при этом средние еженедельные выплаты составляют 2,5 миллиона долларов США. Они также заявили, что лично заработали 150 миллионов долларов, которые обналичили и вложили в легальные бизнес-структуры. В том же сообщении они объявили о прекращении распространения программы в течение 20 дней и о том, что ключи будут удалены.

Что такое GandCrab ransomware?

GandCrab - это вредоносная программа типа ransomware, то есть она шифрует файлы на зараженных машинах и требует выкуп в криптовалюте для восстановления утраченных данных. Более того, этот конкретный штамм распространяется как Ransomware-As-A-Service, позволяя любому желающему использовать эту программу, купив доступ к панели управления.

Уникальная бизнес-модель и постоянные обновления вредоносной программы, в свою очередь, помогли GandCrab стать одним из самых распространенных ransomware 2018 года.

Общее описание GandCrab

С момента обнаружения 26 января 2018 года было создано не менее 5 версий GandCrab. Авторы программы чрезвычайно активны и практически мгновенно реагируют на созданные контрмеры, что делает GandCrab неуловимым вредоносным ПО, которое продолжает терроризировать частных и корпоративных жертв и сегодня.

Последняя обнаруженная версия вредоносной программы - 5.1, и она нацелена на пользователей со всего мира за одним исключением - будучи созданной в одной из стран бывшего СССР, GandCrab, как известно, игнорирует пользователей с территорий X-USSR, идентифицируя их по настройкам клавиатуры или языка пользовательского интерфейса. Вирус поражает только операционные системы Windows.

Следует отметить, что различные антивирусные программы присваивают вирусу разные имена:

• Ransom: Win32/GandCrab
• Trojan.Ransom.GandCrab
• Win32/Filecoder.GandCrab
• Ransom.GandCrab
• Trojan-Ransom.Win32.GandCrypt

Обычно заражая пользователей через почтовый спам или наборы эксплойтов, эта программа-вымогатель перенаправляет жертв на сайт TOR после того, как файлы на компьютере жертвы будут зашифрованы. Для новых версий вредоносной программы единственным способом восстановления данных является уплата выкупа, сумма которого обычно колеблется между 1000 и 3000 долларов. Однако некоторые жертвы сообщали, что их просили заплатить до 700 000 долларов США.

Используя бизнес-модель RaaS (Ransomware-as-a-Service), GandCrab распространяется оригинальными создателями среди "клиентов", которые затем доставляют вредоносную программу конечным жертвам, требуя индивидуальную сумму выкупа с помощью одной из уникальных особенностей вируса - настраиваемых записок о выкупе. После получения выкупа процент от "дохода" делится с авторами вредоносной программы.

Процесс выполнения GandCrab

1. Заражение. Жертва загружает и открывает зараженный файл Microsoft Office, который содержит сценарий, запрограммированный на загрузку и запуск исполнения вируса;
2. Выполнение и сбор информации. После того как скрипт начал процесс исполнения, GandCrab собирает информацию о пользователе. На этом этапе выполнение вируса останавливается, если обнаружена русская раскладка клавиатуры или пользовательский интерфейс;
3. Вредоносная программа проверяет наличие антивирусных драйверов и останавливает все процессы, в которых задействованы файлы, которые она хочет зашифровать;
4. Программа расшифровывает запись о выкупе, содержащуюся в двоичном файле;
5. Далее генерируется пара ключей;
6. Вирус перечисляет файлы и дешифраторы;
7. GandCrab приступает к шифрованию файлов;
8. Вредоносная программа устанавливает связь с сервером;
9. После этого вредоносная программа попытается удалить все теневые копии;
10. Наконец, пользователю отображается записка с требованием выкупа.

Ransomware запускает следующие процессы заражения:

1. Запускает CMD.EXE для выполнения команд
2. Выполняет сценарии PowerShell
3. Загружает исполняемые файлы из Интернета
4. Подключается к серверу CnC
5. Вносит изменения в реестр
6. Запускает wmic.exe
7. Выполняет vssvc.exe
8. Удаляет теневые копии
9. Запускает NOTEPAD.EXE

Чтобы встроиться в систему, GandCrab начинает с расшифровки записи имени расширения, которая хранится в двоичном файле. Перебирая логические диски от "a" до "z", вредоносная программа отделяет все диски, которые равны 0x2 и не равны 0x5, создавая и разделяя поток для перечисления и шифрования всех данных, подготовленных для шифрования. После завершения шифрования вредоносная программа использует wmic для стирания всех теневых копий. В результате все данные остаются затронутыми программой даже после перезагрузки.

Ransomware оставляет после себя артефакты, которые могут помочь распознать версию. Они существуют в виде расширений зашифрованных файлов.

• Версия 1 дает расширение .gdcb
• Версии 2 и 3 имеют расширение .crab
• Версия 4 дает расширение .krab
• Версия 5 дает произвольное расширение из 5 или более букв

Как избежать заражения GandCrab?

Согласно анализу, создатели GandGrab довольно быстро исправляют все эксплойты в коде вредоносной программы, что затрудняет разработку контрмер. При заражении одной из последних версий единственным способом восстановить утраченные данные является уплата выкупа. Таким образом, лучший способ обезопасить себя - это предотвратить заражение.

• Хранить цифровые копии важных файлов в разных местах.
• Убедившись, что антивирусное программное обеспечение надежно и обновлено
• Избегая загрузки цифровых файлов на подозрительных или неизвестных веб-сайтах
• Избегать открытия вложенных файлов в электронных письмах, особенно тех, которые приходят от неизвестных отправителей.
• И не платить выкуп в случае заражения.

Тем не менее, для старых версий вымогательского ПО, таких как Troldesh или Nemty, существуют эффективные контрмеры, включая бесплатные дешифраторы и Killswitch. В частности, Killswitch для GandCrab v4.1.2 был разработан компанией Ahnlab, специализирующейся на анализе и реагировании на киберугрозы. Защитное приложение использует механику работы GandCrab ransomware, создавая файл с расширением .lock, который имитирует файлы, создаваемые самим GandCrab и используемые для проверки того, включен ли компьютер жертвы в реестр ранее пораженных машин, чтобы избежать двойной расшифровки.

Выполнение программы-вымогателя останавливается при обнаружении файла .lock, если он размещен в каталоге %Application Data% для версий Windows до Windows 7 и в каталоге %ProgramData% для более новых версий ОС. Даже в тех случаях, когда вредоносная программа уже активировалась, killswitch предотвратит часть ущерба.

Интересно, что в ответ на killswitch авторы GandCrab выпустили эксплойт, нацеленный на антивирусное ПО Ahnlab. Эксплойт был внедрен в версии v4.2.1 и v4.3 вредоносной программы, но не причинил достаточного вреда пользователям антивирусов.

Для версий 1, 4 и до 5.1 существует бесплатный инструмент расшифровки от Bitdefender.

Распространение GandCrab

По результатам анализа известно, что ransomware использует несколько векторов атаки, однако наиболее часто используемыми каналами доставки являются взломанные списки и спам-рассылки по электронной почте. Будучи доставленным пользователям в спам письмах, GandCrab обманом заставляет их загрузить ZIP-архив, содержащий файл сценария, который инициирует загрузку и выполнение.

Заключение

Благодаря уникальной бизнес-модели, предполагающей продажу программы как услуги, и таким определяющим характеристикам, как настраиваемые заметки о выкупе, популярность GandCrab быстро возросла в 2018 году, сделав вирус самым распространенным ransomware года.

К сожалению, его создатели оказались очень активными и продолжали быстро реагировать на все попытки создать эффективные контрмеры. Хотя соблюдение общепринятых правил безопасности в Интернете значительно снижает вероятность подвергнуться атаке