GandCrab Ransomware

GandCrab Ransomware Beschrijving

Type: Ransomware

GandCrab ransomware is een malwarebedreiging die gegevens op getroffen computers versleutelt en losgeld eist in ruil voor een decoderingstool. Dat cryptovirus verscheen eind januari van dit jaar voor het eerst en sindsdien hebben onderzoekers verschillende versies van GandCrab geïdentificeerd, waaronder GDCB, GandCrab v2, GandCrab v3, GandCrab v4 en GandCrab v5. De nieuwste versie werd ongeveer een maand geleden in september 2018 geïdentificeerd. De functies en versleutelingsmechanismen van deze ransomware zijn geëvolueerd sinds de eerste verschijning - terwijl de eerste drie versies RSA- en AES-versleutelingsalgoritmen gebruikten om gegevens op het geïnfecteerde apparaat te vergrendelen, versie 4 en hoger gebruiken aanvullende en meer geavanceerde codering zoals Salsa20. Malware-onderzoekers zijn van mening dat dit vooral om snelheidsredenen wordt gedaan, omdat de Salsa20-codering veel sneller is. Het patroon voor het kiezen van de te versleutelen bestanden is ook geëvolueerd. De originele versie heeft gecontroleerd op bestanden die moeten worden gecodeerd tegen een specifieke lijst met bestandsextensies, terwijl de tweede en alle volgende GandCrab-versies in plaats daarvan een uitsluitingslijst hebben en alle andere bestanden coderen die niet op die lijst voorkomen. Ook is het bedrag van het benodigde losgeld opgehaald.

Deze week in malware, aflevering 21, deel 3: GandCrab, REvil, Sodinokibi Ransomware-bedreigingen blijven extreem gevaarlijk in het vierde kwartaal van 2020

GandCrab wordt meestal verspreid via spam-e-mails, exploitkits, valse updates en gekraakte legitieme software. Kenmerkend voor alle gevallen van GandCrab is dat deze ransomware specifieke extensies toevoegt aan de versleutelde bestanden. Afhankelijk van welke versie van de malware de computer heeft geïnfecteerd, kunnen deze bestandsextensies .gdcb, .krab, .crab, .lock of een combinatie van willekeurige 5 tot 10 letters zijn. De eerste versie van GandCrab had een kritieke bug in de code die de decoderingssleutel in het geheugen van de geïnfecteerde computer achterliet, dus een anti-malwarebedrijf, dat samenwerkte met Europol en de Roemeense politie, ontwikkelde snel een decryptor en bood deze gratis aan downloaden op NoMoreRansom.org. Maar bijna onmiddellijk daarna hebben de malware-auteurs een bijgewerkte versie uitgebracht waarin de fout is verholpen, zodat de decryptor niet meer werkt voor alle volgende versies. Op dit moment zijn er geen gratis decoderingstools voor de momenteel circulerende versies van GandCrab ransomware, dus gebruikers moeten uiterst voorzichtig zijn bij het online surfen of het openen van e-mailberichten. De beste tip tegen ransomware is waarschijnlijk om back-ups te maken van al uw waardevolle gegevens op externe opslagapparaten.

GandCrab Eerste drie versies volgen een basisroutine

Zodra GandCrab een systeem infiltreert, begint het met het scannen en versleutelen van bestanden, gericht op de meest waardevolle gegevens die op de computer zijn opgeslagen en probeert het alle soorten inhoud te dekken, zoals afbeeldingen, foto's, video's, databases, archieven, Microsoft Office/Open Office documenten, muziekbestanden, enzovoort. Nadat de malware het versleutelingsproces heeft voltooid, heeft de gebruiker geen toegang tot de versleutelde bestanden terwijl de volgende losgeldnota wordt weergegeven in een tekstbestand met de naam GDCB-DECRYPT.txt:

"= GANDKRAB =—
Aandacht!
Al uw bestanden, documenten, foto's, databases en andere belangrijke bestanden zijn versleuteld en hebben de extensie: .GDCB
De enige methode om bestanden te herstellen is door een privésleutel aan te schaffen. Het staat op onze server en alleen wij kunnen uw bestanden herstellen.
De server met uw sleutel bevindt zich in een gesloten netwerk TOR. Je kunt er op de volgende manieren komen:
1. Tor-browser downloaden – https://www.torproject.org/
2. Installeer de Tor-browser
3. Open Tor-browser
4. Open de link in de browser: http://gdcbghvjyqy7jclk.onion/[id]
5. Volg de instructies op deze pagina
Op onze pagina ziet u betalingsinstructies en krijgt u de mogelijkheid om 1 bestand gratis te decoderen.
GEVAARLIJK!
Probeer geen bestanden te wijzigen of uw eigen privésleutel te gebruiken - dit zal leiden tot het verlies van uw gegevens voor altijd!"

Als de gebruiker alle vereiste stappen volgt, komen ze terecht op een webpagina genaamd GandCrab decryptor, waar ze zullen lezen dat ze een bedrag van 1,54 DASH, gelijk aan ongeveer $ 1.200, moeten betalen voor een decoderingstool. Het corresponderende DASH-adres waarnaar het losgeld moet worden gestuurd, wordt ook verstrekt. De malwarewebsite biedt ook de mogelijkheid om één bestand gratis te ontsleutelen om de gebruiker te overtuigen van de betrouwbaarheid ervan, en bovendien krijgt de gebruiker toegang tot een supportchat. Om de slachtoffers te intimideren, wijzen de malware-eigenaren ook een specifieke termijn aan waarbinnen het losgeld moet worden betaald, en dreigen ze de bestanden na het verstrijken van die periode te vernietigen of het gevraagde losgeldbedrag te verhogen. De betaling in DASH is alleen acceptabel voor de eerste en de tweede versie van de malware.

Malware-onderzoekers adviseren om nooit de regels van de cybercriminelen te gehoorzamen, omdat er alternatieve manieren zijn om uw gegevens te herstellen. GandCrab ransomware kan worden verwijderd door professionele verwijderingstools, terwijl de experts niet aanraden om zelf je pc op te schonen, tenzij je een ervaren gebruiker bent. Geavanceerde ransomware-bedreigingen van dat type hebben de mogelijkheid om hun operaties en bestanden te vermommen als legitieme processen, wat betekent dat u eenvoudig een cruciaal systeembestand kunt beëindigen terwijl u probeert een kwaadaardig object te verwijderen, wat op zijn beurt kan leiden tot onherstelbare schade aan uw computer .

De derde versie, bekend als GandCrab v3, verscheen eind april met krachtigere coderingsmethoden en was specifiek gericht op gebruikers in voormalige Sovjet-Unie-landen, zoals Oekraïne, Kazachstan, Wit-Rusland en Rusland. Naast het RSA - 2048-coderingsalgoritme dat bekend is van de vorige versies, maakt GandCrab v3 ook AES -256 (CBC-modus) encryptie om persoonlijke bestanden en andere gegevens te vergrendelen. De versleutelde bestanden krijgen de .CRAB-extensie, terwijl de weergegeven losgeldbrief er vrij bekend uitziet. In tegenstelling tot versies 1 en 2 accepteert deze echter geen betaling in DASH, maar wordt het slachtoffer gevraagd om in plaats daarvan het losgeld in Bitcoin te betalen. Deze versie heeft ook de mogelijkheid om de achtergrond van de gebruiker te veranderen in een losgeldbriefje waarbij het bureaublad constant wisselt tussen behang en losgeldbrief om het slachtoffer extra te intimideren. Een andere nieuwe functie is een RunOnce autorun registersleutel:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\whtsxydcvmtC:\Documents and Settings\Administrator\Application Data\Microsoft\yrtbsc.exe

Latere GandCrab-versies worden geleverd met nieuwe geavanceerde functies

GandCrab v4

In juli van dit jaar heeft GandCrab v4 zijn voorgangers gevolgd. Het maakt ook gebruik van de AES-256 (CBC-modus) en de RSA-2048-coderingsalgoritmen, hoewel deze versie van de ransomware de .KRAB-extensie aan de gecodeerde bestanden toevoegt. Deze geavanceerde dreiging maakt ook gebruik van een snel en efficiënt cryptografisch algoritme genaamd Tiny Encryption Algorithm (TEA) om detectie door antivirusprogramma's te voorkomen.

Versie 4 introduceert ook een nieuw coderingsalgoritme. GandCrab v4 genereert twee RSA-sleutels die worden gebruikt voor de codering van elk bestand - een openbare en een privésleutel. Tijdens de versleutelingsprocedure versleutelt de malware elk bestand met een specifiek gegenereerde willekeurige Salsa20-sleutel en een willekeurige initialisatievector (IV), die vervolgens worden versleuteld met de openbare RSA-sleutel die in het begin is gegenereerd. De privé-RSA-sleutel blijft in het register en wordt zelf versleuteld met een andere Salsa20-sleutel en een IV, die op hun beurt zijn versleuteld met een openbare RSA-sleutel die in de malware is ingebed. Nadat het versleutelingsproces is voltooid, verschijnt een nieuw veld van 8 bytes met de bestandssleutel en de IV wordt toegevoegd aan de inhoud van het getroffen bestand, waardoor de grootte toeneemt. Deze geavanceerde versleutelingsmethode maakt GandCrab v4 zeer krachtig omdat de bestanden niet kunnen worden ontsleuteld zonder de privésleutel die overeenkomt met de ingesloten openbare sleutel. Een extra complicatie komt ook van het feit dat de ransomware al het schaduwvolume op de geïnfecteerde computer verwijdert, zodat bestanden niet via dat mechanisme kunnen worden hersteld. Ten slotte verwijdert GandCrab zichzelf ook van de machine. Deze keer zit het losgeldbriefje in twee verschillende bestanden met de naam KRAB - DECRYPT.txt en CRAB - DECRYPT.txt.

Dan heeft de volgende GandCrab v4.1-versie nog een nieuwe functie - hij kan communiceren met een netwerk in plaats van opdrachten te ontvangen van een C&C-server. Deze versie van de ransomware heeft ook geen internetverbinding nodig om zich te verspreiden, en er zijn speculaties dat het het SMB-transportprotocol kan gebruiken voor de distributie, vergelijkbaar met de Petya- en WannaCry-virussen die ook de SMB-exploit gebruikten. Zelfs als dat nog niet het geval is, waarschuwen experts dat deze mogelijkheid van GandCrab zou kunnen worden geïntroduceerd in sommige van de aankomende versies van de malware, daarom moeten gebruikers ervoor zorgen dat ze alle beschikbare patches hebben geïnstalleerd. Wat ook nieuw is in deze versie, is dat de decoderingssleutels zich op de server van de aanvallers bevinden en alleen toegankelijk zijn voor de cybercriminelen zelf. Moveover wordt specifiek voor elke geïnfecteerde computer een nieuwe sleutel gegenereerd, zodat de decoderingssleutels niet opnieuw kunnen worden gebruikt. Een nieuwe functie van de volgende GandCrab v4.2 is een speciale code die in staat is om virtuele machines te detecteren, in welk geval de malware zijn activiteiten stopt.

Voor GandCrab v4.1 is een vaccin-app ontwikkeld die werkt door een speciaal bestand op het beoogde systeem te maken dat de ransomware misleidt dat de gegevens al zijn versleuteld. De vaccin-app is online beschikbaar, maar werkt alleen voor deze specifieke versie en de voorgaande versies, maar niet voor v4.1.2 en de volgende versies. De makers van malware vonden snel een manier om de truc ondoeltreffend te maken - v4.2.1 is begin augustus verschenen met een opgenomen bericht aan het bedrijf dat het vaccin heeft ontwikkeld en een link naar een broncode-exploit die is ontworpen om een product van dit bedrijf. Deze code vertegenwoordigt een Visual Studio-project en bevat gegevens in het Russisch. Versie 4.3 verscheen bijna gelijktijdig met v4.2.1, maar had ook verschillende wijzigingen. Een van de veranderingen is dat de detectiecode van virtuele machines is verwijderd omdat deze niet altijd goed werkte.

GandCrab v5

De nieuwste versies van GandCrab vonden plaats in september - GandCrab v5, GandCrab v5.0.1, v5.0.2 en v5.0.4. De nieuwe functies omvatten de mogelijkheid om willekeurig gegenereerde bestandsextensies van 5 tot 10 letters te gebruiken voor de versleutelde bestanden, in plaats van vooraf bepaalde zoals waargenomen in de vorige versies van de ransomware. Versie v5.0.2 voegt tien willekeurig gekozen letters toe als bestandsextensie aan elk versleuteld bestand, terwijl de daaropvolgende v5.0.4 een willekeurige bestandsextensie van 8 tekens gebruikt. GandCrab v5 heeft een nieuw formaat voor losgeldnota's waarbij de bestandsnaam er als volgt uitziet: [randomly_generated_extension] - DECRYPT.html. In tegenstelling tot sommige van de oudere versies, legt de HTML-losgeldbrief alleen uit hoe de TOR-browser moet worden gedownload, terwijl de betalingspagina van de hackers die op het TOR-netwerk wordt gehost, de rest van de informatie geeft over wat er met de bestanden van de gebruiker is gebeurd. Het vereiste losgeld is een bedrag in DASH of Bitcoin, en deze keer is het gelijk aan $800 tot $2.400.

Versies vanaf v5.0.1 gebruiken opnieuw een tekstbestandsformaat voor de losgeldbrief, maar de rest blijft hetzelfde. Het losgeldbriefje van GandCrab v5.0.1 bevindt zich in een bestand met de naam [random_extension]-Decrypt.txt en vereist het gebruik van anonieme communicatie via de TOR-browser. Er staat het volgende:

" —= GANDCRAB V5.0.1 =—
Aandacht!
Al uw bestanden, documenten, foto's, databases en andere belangrijke bestanden zijn versleuteld en hebben de extensie:
De enige methode om bestanden te herstellen is door een unieke privésleutel aan te schaffen. Alleen wij kunnen u deze sleutel geven en alleen wij kunnen uw bestanden herstellen.
De server met uw sleutel bevindt zich in een gesloten netwerk TOR. Je kunt er op de volgende manieren komen:>
------------------------------->
• Tor-browser downloaden – https://www.torproject.org/
• Tor-browser installeren
• Tor-browser openen
• Link openen in TOR-browser: http://gandcrabmfe6mnef.onion/e499c8afc4ba3647
• Volg de instructies op deze pagina
--------------------------------
Op onze pagina ziet u betalingsinstructies en krijgt u de mogelijkheid om 1 bestand gratis te decoderen.
AANDACHT!
OM GEGEVENSSCHADE TE VOORKOMEN:
* WIJZIG GEEN ENCRYPTE BESTANDEN
* WIJZIG ONDERSTAANDE GEGEVENS NIET"

Bij het bezoeken van de TOR-pagina van de aanvallers leest het slachtoffer het volgende bericht:

"Het spijt ons, maar uw bestanden zijn versleuteld!
Maak je geen zorgen, we kunnen je helpen om al je bestanden terug te sturen!
De prijs van de bestandendecryptor is 2400 USD
Als de betaling pas wordt gedaan 2018-07-20 02:32:41 UTC, worden de kosten voor het decoderen van bestanden verdubbeld
Bedrag verdubbeld!
Resterende tijd om de prijs te verdubbelen:
-------------------------------
Wat is er aan de hand? Koop GandCrab Decryptor Ondersteuning is 24/7 Test decryptie
--------------------------------
Zet javascript aan!!
Wat is er aan de hand?
Uw computer is geïnfecteerd met GandCrab Ransomware. Uw bestanden zijn versleuteld en u kunt ze niet zelf ontsleutelen.
In het netwerk kun je waarschijnlijk decryptors en software van derden vinden, maar het zal je niet helpen en het kan alleen je bestanden ondecodeerbaar maken
Wat kan ik doen om mijn bestanden terug te krijgen?
Je zou GandCrab Decryptor moeten kopen. Deze software helpt je al je versleutelde bestanden te decoderen en GandCrab Ransomware van je pc te verwijderen.
Huidige prijs: $ 2.400,00. Als betaling heb je cryptocurrency DASH of Bitcoin nodig
Welke garanties kunt u mij geven?
U kunt testdecodering gebruiken en 1 bestand gratis decoderen
Wat is cryptocurrency en hoe kan ik GandCrab Decryptor kopen?
U kunt meer details over cryptocurrency lezen bij Google of hier.
Als betaling moet je DASH of Bitcoin kopen met een creditcard en munten naar ons adres sturen.
Hoe kan ik aan u betalen?
U moet Bitcoin of DASH kopen met een creditcard. Links naar services waar u dit kunt doen: Dash-uitwisselingslijst, Bitcoin-uitwisselingslijst
Ga daarna naar onze betalingspagina Koop GandCrab Decryptor, kies uw betalingsmethode en volg de instructies."

Om de persistentie ervan te bereiken en om ervoor te zorgen dat het kwaadaardige script automatisch wordt uitgevoerd bij elke opstart van het Windows-besturingssysteem, voegt v5.0.2 vermeldingen toe aan het Windows-register:

HKEY_CURRENT_USER\Configuratiescherm\Internationaal
HKEY_CURRENT_USER\Configuratiescherm\International\LocaleName
HKEY_CURRENT_USER\Toetsenbordindeling\Preload
HKEY_CURRENT_USER\Toetsenbordindeling\Preload\1
HKEY_CURRENT_USER\Toetsenbordindeling\Preload\2
HKEY_CURRENT_USER\SOFTWARE\keys_data\data
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\Identifier
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wbem\CIMOM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wbem\CIMOM\Logbestand maximale grootte
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wbem\CIMOM\Logging
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\productnaam
HKEY_LOCAL_MACHINE\SOFTWARE\ex_data\data
HKEY_LOCAL_MACHINE\SOFTWARE\ex_data\data\ext
HKEY_LOCAL_MACHINE\SOFTWARE\keys_data\data
HKEY_LOCAL_MACHINE\SOFTWARE\keys_data\data\private
HKEY_LOCAL_MACHINE\SOFTWARE\keys_data\data\public
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Domain

Deze versie van de ransomware kan ook worden geprogrammeerd om alle schaduwvolume-kopieën van het Windows-besturingssysteem te verwijderen. Dit gebeurt via het commando:

"→vssadmin.exe verwijder schaduwen /all /Quiet"

Wanneer deze opdracht wordt uitgevoerd, wordt de codering van de bestanden efficiënter omdat een van de mogelijke manieren om de beschadigde gegevens te herstellen, wordt geëlimineerd.

De kwaadaardige payload van GandCrab 5.0.2 is gedetecteerd door anti-malwareprogramma's onder verschillende namen, waaronder:

  • Losgeld.GandCrab
  • Trojan-Ransom.Win32.GandCrypt.fbd
  • TR/AD.GandCrab.wizji
  • Trojan [losgeld]/Win32.GandCrypt
  • Trojan-Ransom.Win32.GandCrypt.fbd
  • Losgeld:Win32/GandCrab.MTC!bit
  • ML.Attribuut.HighConfidence

GandCrab Ransomware Distributiekanalen

Spam-e-mailcampagnes

Cybersecurity-onderzoekers hebben verschillende distributiemethoden voor de gevaarlijke GandCrab-ransomware geïdentificeerd. Een van de bekende kanalen voor verspreiding van deze malware is via e-mailspamcampagnes van afzenders met verschillende namen. In dit geval vertrouwen de cybercriminelen op social engineering-technieken waarbij de kwaadaardige e-mails worden vermomd als facturen, winkelbonnen of andere documenten die geloofwaardig genoeg kunnen klinken om de gebruiker te misleiden om ze te openen voor "verdere details". Wat de e-mails van enkele eerdere spamcampagnes van GandCrab gemeen hebben, is dat het tweede deel van het adres @cdkconstruction.org is, terwijl de onderwerpregel "Ontvangst feb- [willekeurige nummers]" bevat. De malware is meestal ingesloten in een PDF-bijlage, terwijl in de hoofdtekst van het bericht 'DOC bijgevoegd' staat. Wanneer de gebruiker op de schadelijke bijlagen klikt, wordt een .doc.bestand op het systeem gedownload. Dat bestand voert vervolgens een PowerShell-script uit en maakt een nieuw exploitbestand met de naam "sct5.txt" in sommige versies van de malware. Dit exploitbestand voert echter niet de daadwerkelijke malwarelading uit; in plaats daarvan fungeert het als een intermediair medium waardoor het virus het systeem binnendringt. GandCrab v4.3 is ook verspreid via spam-e-mails met een bijgevoegd ".egg"-bestand - een type gecomprimeerd archiefbestand dat populair is in Zuid-Korea. Deze campagne werd in augustus van dit jaar voor het eerst gedetecteerd en is gericht op gebruikers in Zuid-Korea, met name omdat de auteurs Hangul hebben gebruikt in de onderwerpregel, in de hoofdtekst van de e-mails en ook voor de naam van de kwaadaardige .egg-bestandsbijlage. De corrupte berichten zijn vermomd als een melding van een "e-commerce schending" probleem waarvan de ontvanger zou worden beschuldigd. Het potentiële slachtoffer moet het bestand decomprimeren en een van de twee bestanden openen die overblijven na de decompressie om de GandCrab-ransomware uit te voeren.

Exploitkits

Een ander distributiekanaal dat door de onderzoekers is gedetecteerd, is de Magnitude Exploit Kit (Magnitude EK) die hackers eerder gebruikten om de Magniber-ransomware in Zuid-Korea te verspreiden. Tot nu toe denken de onderzoekers dat de Magnitude EK vooral wordt gebruikt om de tweede versie van GandCrab te verspreiden. Die kit biedt een speciale vuurloze techniek om de ransomware uit te voeren, waarbij de malware wordt gecodeerd met VBScript.Encode/JScript.Encode-scripts en daarna rechtstreeks in het geheugen van de doelcomputer wordt geïnjecteerd. Na de uitvoering van de payload wortelt GandCrab in het bestand explorer.exe, veroorzaakt een gedwongen herstart en initieert vervolgens de encryptor die bestanden vergrendelt en de bestandsextensie .CRAB eraan toevoegt. GandCrab is ook verspreid via een campagne met corrupte online advertenties die bekend staat als "Seamless", waarbij de aanvallers een andere exploitkit hebben gebruikt, genaamd RIG EK. Die exploitkit detecteert kwetsbaarheden in de beoogde systemen waarmee het het versleutelende virus kan introduceren. Ook is bekend dat een derde exploitkit, namelijk GrandSoft EK, is ingezet voor de verspreiding van deze malware. Het is ook in staat om beveiligingsfouten in gerichte systemen te vinden en te misbruiken. Nieuwe Exploit Kit die in september werd ontdekt, Fallout genaamd, bleek ook GandCrab-ransomware te verspreiden. Fallout volgt routines die erg lijken op een exploitkit die eerder actief was, Nuclear genoemd. Fallout maakt gebruik van twee kwetsbaarheden om kwaadaardige payloads te leveren. De eerste is een bug voor het uitvoeren van externe code in de Windows VBScript-engine (CVE - 2018 - 8174); de tweede is een beveiligingsfout in Adobe Flash (CVE - 2018 - 4878) die Fallout misbruikt voor het geval het er niet in slaagt een VBScript te exploiteren. Nadat het deze fouten met succes heeft uitgebuit, genereert Fallout een shellcode om een versleutelde payload op te halen. Vervolgens decodeert het die payload en voert het de code uit die erin is ingebed. In sommige gevallen kan Fallout ook worden geprogrammeerd om een Trojaans paard te installeren dat controleert op de aanwezigheid van bepaalde beveiligingsprocessen, en om geen verdere acties uit te voeren als deze aanwezig zijn op het beoogde systeem. Voor GandCrab v5.0.1 is bekend dat het misbruik maakt van de kwetsbaarheid CVE - 2018 - 0896 die in de Windows-kernel zit en waarmee potentiële aanvallers informatie kunnen ophalen waarmee ze een Address Space Layout Randomization (ASLR)-bypass kunnen krijgen. Dit beveiligingslek kan worden misbruikt als de aanvaller een specifiek vervaardigde toepassing uitvoert wanneer hij op de doelcomputer is aangemeld. GandCrab v5.0.2 zou dezelfde mogelijkheid kunnen hebben, maar dat is nog niet bevestigd.

Ransomware-as-a-Service (RaaS)

Ten slotte wordt GandCrab ook aangeboden als Ransomware-as-a-Service (RaaS) met 24/7 technische ondersteuning op Russische ondergrondse hackforums. Uit verzamelde gegevens blijkt dat de ontwikkelaars van de malware al meer dan $ 600.000 aan losgeld hebben ontvangen dankzij het GandCrab Affiliate Program waarbij de deelnemende actoren door de malwareontwikkelaars ergens tussen de 60 en 70% van de inkomsten zijn betaald. Volgens de onderzoekers hebben de Affiliate-programma's 100 leden, waarvan 80 700 verschillende monsters van de ransomware hebben verspreid, waarbij meer dan 70% van de geïnfecteerde computer zich in de VS of het VK bevindt. Daarom hebben de experts GandCrab-ransomware aanvankelijk beschouwd als een bedreiging die specifiek gericht is op Engelssprekende slachtoffers. De meer recente versies van de malware hebben die propositie echter overschreden, omdat ze verschillende extra talen ondersteunen, waaronder Frans, Duits, Italiaans en Japans.

De vraag om losgeld van de GandCrab Ransomware

De GandCrab Ransomware levert een losgeldbrief in de vorm van een tekstbestand met de naam 'GDCB-DECRYPT.txt', dat op de documentenbibliotheek van de geïnfecteerde computer en op het bureaublad van de geïnfecteerde computer wordt geplaatst. De tekst van de losgeldbrief van de GandCrab Ransomware luidt:

'—= GANDKRAB =—
Aandacht!
Al uw bestanden, documenten, foto's, databases en andere belangrijke bestanden zijn versleuteld en hebben de extensie: .GDCB
De enige methode om bestanden te herstellen is door een privésleutel aan te schaffen. Het staat op onze server en alleen wij kunnen uw bestanden herstellen.
De server met uw sleutel bevindt zich in een gesloten netwerk TOR. Je kunt er op de volgende manieren komen:
1. Tor-browser downloaden – h[tt]ps://www.torproject[.]org/
2. Installeer de Tor-browser
3. Open Tor-browser
4. Open de link in de browser: h[tt]ps://gdcbghvjyqy7jclk[.]onion/6361f798c4ba3647
5. Volg de instructies op deze pagina
Als de Tor/Tor-browser in uw land is vergrendeld of als u deze niet kunt installeren, opent u een van de volgende links in uw gewone browser:
1.h[tt]ps://gdcbghvjyqy7jclk.onion[.]top/6361f798c4ba3647
2. h[tt]ps://gdcbghvjyqy7jclk.onion[.]casa/6361f798c4ba3647
3. h[tt]ps://gdcbghvjyqy7jclk.onion[.]guide/6361f798c4ba3647
4. h[tt]ps://gdcbghvjyqy7jclk.onion[.]rip/6361f798c4ba3647
5. h[tt]ps://gdcbghvjyqy7jclk.onion[.]plus/6361f798c4ba3647
Op onze pagina ziet u betalingsinstructies en krijgt u de mogelijkheid om 1 bestand gratis te decoderen.
GEVAARLIJK!
Probeer geen bestanden te wijzigen of gebruik uw eigen privésleutel - dit zal leiden tot het verlies van uw gegevens voor altijd!'

Wanneer de slachtoffers van de aanval proberen verbinding te maken met het domein dat is gekoppeld aan de GandCrab Ransomware, wordt het volgende bericht en de volgende tekst weergegeven:

'Welkom!
WIJ HEBBEN SPIJT, MAAR AL UW BESTANDEN ZIJN VERSLEUTELD!
ZO VER WE WETEN:
land
OS
PC-gebruiker
pc-naam:
PC-groep
PC Lang.
HDD
Datum van versleuteling
Aantal bestanden
Volume van uw bestanden
Maar maak je geen zorgen, je kunt al je bestanden teruggeven! Wij kunnen je helpen!
Hieronder kunt u een van uw gecodeerde bestanden van uw pc kiezen en hem decoderen, het is een testdecryptor voor u.
Maar we kunnen slechts 1 bestand gratis decoderen.
AANDACHT! Probeer geen decryptortools van derden te gebruiken! Omdat dit uw bestanden zal vernietigen!
Wat heb je nodig?
Je hebt GandCrab Decryptor nodig. Deze software decodeert al uw versleutelde bestanden en verwijdert GandCrab van uw pc. Voor aankoop heb je crypto-valuta DASH nodig (1 DASH = 760.567 $). Hoe u deze valuta kunt kopen kunt u hier lezen.
Hoeveel geld moet je betalen? Hieronder staan we het gespecificeerde bedrag en onze portemonnee voor betaling
Prijs: 1.5 DASH (1200 USD)'

De losgeldvraag van de GandCrab Ransomware maakt gebruik van Dash, een cryptocurrency die niet veel lijkt op Bitcoin. PC-beveiligingsonderzoekers wordt sterk aangeraden om de inhoud van de losgeldbrief van de GandCrab Ransomware te negeren.

Update 26 oktober 2018 — GandCrab 5.0.5 Ransomware

De GandCrab 5.0.5 Ransomware is een bijgewerkte versie van de GandCrab Ransomware die eind oktober 2018 door malware-analisten werd gerapporteerd. De release van de GandCrab 5.0.5 Ransomware is opmerkelijk vanwege veranderingen in het coderingsproces en het feit dat het ontstond kort nadat een gratis decoderingsinstrument was vrijgegeven door Europol (de wetshandhavingsinstantie van de Europese Unie) en partners in de cyberbeveiligingsindustrie. De gratis decryptor is mogelijk gemaakt doordat het GandCrab-team een gratis decryptor heeft vrijgegeven aan pc-gebruikers in Syrië, die hebben gepleit voor hulp bij het herstellen van familiefoto's van familieleden die verloren zijn gegaan in de Syrische burgeroorlog van 2017-2018. Malware-onderzoekers zijn erin geslaagd een tool te ontwikkelen op basis van de code die door het GandCrab-team naar internet is geüpload. Een korte testperiode volgde en veel pc-gebruikers die getroffen waren door de Gand Crab v4 Ransomware ontvingen meldingen dat ze een gratis decryptor van Europol kunnen downloaden.

Helaas was het succes van de gezamenlijke inspanningen van de cyberbeveiligingsindustrie van korte duur. De ransomware-acteurs hebben de GandCrab 5.0.5-update naar hun distributeurs gepusht en de dreiging slaagde erin meer gebruikers in gevaar te brengen. De GandCrab 5.0.5-versie gebruikt een nieuwe encryptie-instructie die de gratis decryptor overbodig maakt. Het is mogelijk om het instrument van Europol te gebruiken om de bestanden te ontcijferen die zijn aangetast door GandCrab v4. De nieuwe GandCrab 5.0.5 Ransomware is echter onkwetsbaar voor pogingen tot reverse-engineering. We hebben gezien dat de GandCrab 5.0.5 Ransomware vijf willekeurige tekens aan bestandsnamen koppelde en een losgeldbriefje met de titel '[extensie in hoofdletters]-DECRYPT.txt' liet vallen. Een van de slachtoffers van de GandCrab 5.0.5 meldde dat de bestanden de extensie '.cyyjg' bevatten. Zo wordt 'Ristretto coffee.docx' hernoemd naar 'Ristretto coffee.docx.cyyjg' en wordt het losgeldbriefje op het bureaublad opgeslagen als 'CYYJG-DECRYPT.txt'. De losgeldbrief bevat verschillende wijzigingen in vergelijking met eerdere versies. De tekst in '[extensie in hoofdletters]-DECRYPT.txt' kan er als volgt uitzien:

'---= GANDCRAB V5.0.5 =---
Aandacht!
Al uw bestanden, documenten, foto's, databases en andere belangrijke bestanden zijn versleuteld en hebben de extensie: .ROTXKRY
De enige methode om bestanden te herstellen is door een unieke privésleutel aan te schaffen. Alleen wij kunnen u deze sleutel geven en alleen wij kunnen uw bestanden herstellen.
De server met uw sleutel bevindt zich in een gesloten netwerk TOR. Je kunt er op de volgende manieren komen:
---------------------------------
| 0. Tor-browser downloaden - hxxps://www.torproject[.]org/
| 1. Installeer de Tor-browser
| 2. Open Tor-browser
| 3. Open de link in de TOR-browser: hxxp://gandcrabmfe6mnef[.]onion/113737081e857d00
| 4. Volg de instructies op deze pagina
-------------------------------
Op onze pagina ziet u betalingsinstructies en krijgt u de mogelijkheid om 1 bestand gratis te decoderen.
AANDACHT!
OM GEGEVENSSCHADE TE VOORKOMEN:
* WIJZIG GEEN ENCRYPTE BESTANDEN
* WIJZIG ONDERSTAANDE GEGEVENS NIET!
---BEGIN GANDCRAB SLEUTEL ---
[willekeurige tekens]
---EINDE GANDCRAB SLEUTEL---

---BEGIN PC-GEGEVENS---
[unieke identificatie]
---EINDE PC-GEGEVENS---'

De GandCrab 5.0.5 Ransomware wordt nog steeds verspreid via beschadigde Microsoft Word-bestanden, pdf's, phishing-pagina's en valse updates voor lettertypen die worden gebruikt in Mozilla Firefox en Google Chrome. Zoals eerder vermeld, wordt de GandCrab Ransomware beheerd als een Ransomware-as-a-Service-platform en wordt de dreiging in verschillende vormen gepropageerd. Pc-gebruikers worden aangemoedigd om bestanden van niet-geverifieerde locaties en afzenders van e-mail te vermijden en om illegale software niet te gebruiken.

Update 3 december 2018 — GandCrab 5.0.9 Ransomware

3 december 2018 markeert een grote update van de GandCrab Ransomware, die versienummer 5.0.9 draagt. De kern van de GandCrab 5.0.9 Ransomware is hetzelfde als eerdere versies, maar er zijn nieuwe functies aan toegevoegd, er zijn nieuwe verduisteringslagen en de dreiging biedt decoderingsservices in ruil voor Bitcoin (BTC) en Dashcoin (DASH). Aangenomen wordt dat de GandCrab 5.0.9 Ransomware voornamelijk gericht is op middelgrote bedrijven met een slechte beveiliging op afstand. De nieuwe versie blijft een aangepaste bestandsextensie toevoegen die willekeurig voor elke geïnfecteerde machine wordt gegenereerd. Ook wordt het losgeldbriefje in elke map met versleutelde gegevens geplaatst.

De GandCrab 5.0.9 Ransomware bevindt zich mogelijk in een testfase op het moment van schrijven, te oordelen naar de lage infectieratio. Er zijn niet veel incidentrapporten, maar uit onderzoek blijkt dat de GandCrab 5.0.9 Ransomware in de eerste maanden van 2019 zal opduiken als de dominante crypto-bedreiging. Momenteel is bekend dat de GandCrab 5.0.9 Ransomware de extensie '.wwzaf' toevoegt. en zet een bericht met de titel 'WWZAF-DECRYPT.txt' in mappen. Zo wordt 'Horizon Zero Dawn-The Frozen Wilds.docx' hernoemd naar 'Horizon Zero Dawn-The Frozen Wilds.docx.wwzaf' en wordt de betrokken gebruiker gevraagd de inhoud van 'WWZAF-DECRYPT.txt' te lezen voor ontsleuteling instructies. Gecompromitteerde desktops krijgen een nieuwe achtergrondafbeelding die een zwart scherm is met de volgende tekst in het midden:

'ENCRYPTED DOOR GANDCRAB 5.0.9'
UW BESTANDEN WORDEN STERK BESCHERMD DOOR ONZE SOFTWARE. OM HET TE HERSTELLEN MOET JE DECRYPTOR KOPEN
Lees voor verdere stappen WWZAF-DECRYPT.txt dat zich in elke versleutelde map bevindt'

De GandCrab 5.0.9 Ransomware gebruikt een nieuwe lay-out voor losgeldnota's, maar het blijft vertrouwen op het TOR-netwerk om losgeldbetalingen te verifiëren. Zoals hierboven vermeld, accepteren de Ransomware-actoren nu Bitcoin- en Dashcoin-betalingen zoals aangegeven in 'WWZAF-DECRYPT.txt':

'---= GANDCRAB V5.0.9 =---
***VERWIJDER IN GEEN GEVAL DIT BESTAND TOTDAT AL UW GEGEVENS WORDEN HERSTELD***
*** ALS ER DECRYPTIEFOUTEN ZIJN, ZAL DIT RESULTEREN IN UW SYSTEEM CORRUPTIE, ALS ER DECRYPTIEFOUTEN ZIJN ***
Aandacht!
Al uw bestanden, documenten, foto's, databases en andere belangrijke bestanden zijn versleuteld en hebben de extensie: .WWZAFDe enige methode om bestanden te herstellen is door een unieke privésleutel aan te schaffen. Alleen wij kunnen u deze sleutel geven en alleen wij kunnen uw bestanden herstellen.
De server met uw sleutel bevindt zich in een gesloten netwerk TOR. Je kunt er op de volgende manieren komen:
0. Tor-browser downloaden - hxxps://www.torproject.org/
1. Installeer de Tor-browser
2. Open Tor-browser
3. Open de link in de TOR-browser: h[tt]p://gandcrabmfe6mnef[.]onion/da9ad04e1e857d00
4. Volg de instructies op deze pagina
Op onze pagina ziet u betalingsinstructies en krijgt u de mogelijkheid om 1 bestand gratis te decoderen.
AANDACHT!
OM GEGEVENSSCHADE TE VOORKOMEN:
* WIJZIG GEEN ENCRYPTE BESTANDEN
* WIJZIG ONDERSTAANDE GEGEVENS NIET!
---BEGIN GANDCRAB SLEUTEL ---
[willekeurige tekens]
---EINDE GANDCRAB SLEUTEL---
---BEGIN PC-GEGEVENS---
[willekeurige tekens]
---EINDE PC-GEGEVENS---'

De nieuwe versie leest de actieve systeemaccountnaam en begroet slachtoffers met een aangepast dialoogvenster met de titel ';)' met de tekst 'Hallo, .' Het dialoogvenster wordt een paar seconden weergegeven en vervolgens gevolgd door een ander dialoogvenster met de tekst 'We komen zeer binnenkort terug! ;).' De enige betrouwbare bescherming tegen de GandCrab 5.0.9 Ransomware en soortgelijke cyberbedreigingen blijft voorbereiding, aangezien deze ransomware-trojans zich blijven ontwikkelen. Vergeet niet om zo vaak mogelijk gegevensback-ups te maken en spam-e-mails te negeren. Detectieregels voor de GandCrab 5.0.9 Ransomware verwijzen naar bestanden die zijn getagd met:

Generiek.Losgeld.GandCrab4.56F1503D
Ran-GandCrabv4! 44C289E415E4
Losgeld.Win32.GANDCRAB.SMK
Losgeld:Win32/Gandcrab.AW!bit
TrojWare.Win32.Gandcrab.AA@7w10qu
Trojaans paard ( 0053d33d1 )
Trojan-Ransom.Win32.GandCrypt.fbd
Trojan.Encoder.26667
Trojan.Win32.Agent.142336.AE
Trojan.Win32.GandCrypt.4!c
Trojan.Win32.GandCrypt.fjrarj
Win32: MalOb-IF [Cryp]

Technische informatie

Screenshots en andere beelden

SpyHunter detecteert en verwijdert GandCrab Ransomware

Bestandssysteemdetails

GandCrab Ransomware maakt de volgende bestanden aan:
# Bestandsnaam MD5 Detectie telling
1 jwadeb.exe 832ad5f26958178abe0070db138ba542 34
2 32630cnl.exe c0645cee077359f0e7d0a98a4b23b22d 7
3 0b46963657fb907372ec55ffde8712a45654de146a244d7604e73dcb2bf599ce 3be2d5f740549e7c1f5b96274c43324a 4
4 r1[1].exe 0e5a2bc5655320bfe2bc5c36ab404641 2
5 default[1].exe d9ebd35f303eb73c37245c2ec2a86d3d 2
6 gccccc1111.exe e43344a5ba0c90b92224cddd43de674e 2
7 krablin.exe 77067974a70af43a3cadf88219d1e28c 1
8 xqtocbluhreqvo1orzi9za0ps.exe 76ebb7a68789191d71c62d3d3cd999f7 1
9 ikyg6fy5qjawlekos7t38klco.exe b091826a997d9c0ca7dd5ad5ca2f7e2d 1
10 5b13e0c41b955fdc7929e324357cd0583b7d92c8c2aedaf7930ff58ad3a00aed.exe 6134eed250273cbd030f10621ce0ad0b 1
11 ff8836362eda2ac9bfaca9f8073191df ff8836362eda2ac9bfaca9f8073191df 0
12 28c4782e7f66250c7aeb9257cae3c10d 28c4782e7f66250c7aeb9257cae3c10d 0
13 f5a43bdce5bfa305aa91e2ffdf3066d4 f5a43bdce5bfa305aa91e2ffdf3066d4 0
14 0483b66214816924425c312600cd6dba 0483b66214816924425c312600cd6dba 0
15 18d2a7deb97e9dc1153494bb04f06aa4 18d2a7deb97e9dc1153494bb04f06aa4 0
16 5d481e6f1ceef609ce470877ef803d4c 5d481e6f1ceef609ce470877ef803d4c 0
17 2e8a08da5a2f0e6abce5721974aa32ca 2e8a08da5a2f0e6abce5721974aa32ca 0
18 b189d127cb65cb98a49e7e6902f2e5dd b189d127cb65cb98a49e7e6902f2e5dd 0
19 f0dcbb87d743ad612be8dc50e5d11906 f0dcbb87d743ad612be8dc50e5d11906 0
20 5d92b42c4f84d5284028f512f49a2326 5d92b42c4f84d5284028f512f49a2326 0
21 file.js c141d377f77e18d5cc01dcd4b26fff79 0
22 file.doc ff7784287a7d580b499442d256d32a68 0
23 69774172027aff9947f0b35abb6a9d91 69774172027aff9947f0b35abb6a9d91 0
24 b4da4d7e145b0fdd916456eece0974c0 b4da4d7e145b0fdd916456eece0974c0 0
25 36939afd1a2c325513d9ea4e684260d9 36939afd1a2c325513d9ea4e684260d9 0
Meer bestanden

Registerdetails

GandCrab Ransomware maakt de volgende registervermelding of registervermeldingen:
Regexp file mask
%APPDATA%\default.exe
%TEMP%\pidor.bmp
%TEMP%\WinNtBackend-[NUMBERS].tmp.exe
%WINDIR%\System32\drivers\etcsvchost.exe

Site Disclaimer

Enigmasoftware.com is niet geassocieerd, gelieerd aan, gesponsord door of eigendom van de makers of distributeurs van malware die in dit artikel worden genoemd. Dit artikel mag NIET worden aangezien of op een of andere manier worden geassocieerd met de promotie of goedkeuring van malware. Het is onze bedoeling om informatie te verstrekken die computergebruikers zal informeren over het detecteren en uiteindelijk verwijderen van malware van hun computer met behulp van SpyHunter en/of handmatige verwijderingsinstructies in dit artikel.

Dit artikel wordt geleverd "zoals het is" en mag alleen worden gebruikt voor educatieve informatiedoeleinden. Door de instructies in dit artikel te volgen, gaat u ermee akkoord gebonden te zijn aan de disclaimer. We garanderen niet dat dit artikel u zal helpen de malwarebedreigingen op uw computer volledig te verwijderen. Spyware verandert regelmatig; daarom is het moeilijk om een geïnfecteerde machine volledig handmatig te reinigen.