GandCrab Ransomware

O GandCrab Ransomware é um Trojan ransomware de criptografia. O GandCrab Ransomware é entregue às vítimas normalmente através do uso de anexos de e-mail de spam corrompidos, que podem instalar o GandCrab Ransomware através do uso de scripts embutidos ruins. O GandCrab Ransomware parece ser uma ameaça independente e não faz parte de uma família maior de ransomware. Todos os dias, novas ameaças de ransomware estão surgindo, e o GandCrab Ransomware é apenas um dos inúmeros novos Trojans ransomware que estão sendo lançados pelos criminosos virtuais, que foi observado pela primeira vez em 27 de janeiro de 2018.

Como Reconhecer a Presença do GandCrab Ransomware em um Computador

O GandCrab Ransomware é executado no computador infectado usando o nome de arquivo 'GandCrab.exe'. O GandCrab Ransomware usa a criptografia AES-256 para tornar os arquivos da vítima inacessíveis. Uma vez que o GandCrab Ransomware criptografa os arquivos, eles não poderão mais ser recuperados sem a chave de descriptografia, que essas pessoas mantêm em sua posse. O GandCrab Ransomware toma os arquivos da vítima como reféns até que a vítima concorde em pagar um grande resgate em troca da chave de decodificação. O GandCrab Ransomware representa uma séria ameaça, e os usuários de computador são aconselhados a tomar medidas preventivas contra o GandCrab Ransomware e os inúmeros Trojans ransomware que existem hoje em dia. O GandCrab Ransomware marca os arquivos criptografados pelo ataque com a extensão de arquivo '.GDCB', que é adicionada ao final do nome de cada arquivo afetado.

O Pedido de Resgate do GandCrab Ransomware

O GandCrab Ransomware entregará uma nota de resgate na forma de um arquivo de texto chamado 'GDCB-DECRYPT.txt', que é colocado na Biblioteca de Documentos do computador infectado e na área de trabalho do computador infectado. O texto da nota de resgate do GandCrab Ransomware diz:

'- =GANDCRAB= -
Atenção!
Todos os seus arquivos de documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e possuem a extensão: .GDCB
O único método de recuperar arquivos é comprar uma chave privada. Está no nosso servidor e só podemos recuperar seus arquivos.
O servidor com sua chave está em uma rede fechada TOR. Você pode chegar lá das seguintes formas:
1. Faça o download do navegador Tor - h[tt]ps://www.torproject[.]org /
2. Instalar o navegador Tor
3. Abra o Navegador Tor
4. Abra o link no navegador tor: h [tt] ps: // gdcbghvjyqy7jclk [.] Onion / 6361f798c4ba3647
5. Siga as instruções nesta página
Se o navegador Tor / Tor estiver bloqueado em seu país ou você não puder instalá-lo, abra um dos seguintes links em seu navegador normal:
1.h[tt]ps://gdcbghvjyqy7jclk.onion[.]top/6361f798c4ba3647
2. h[tt]ps://gdcbghvjyqy7jclk.onion[.]casa/6361f798c4ba3647
3. h[tt]ps://gdcbghvjyqy7jclk.onion[.]guide/6361f798c4ba3647
4. h[tt]ps://gdcbghvjyqy7jclk.onion[.]rip/6361f798c4ba3647
5. h[tt]ps://gdcbghvjyqy7jclk.onion[.]plus/6361f798c4ba3647
Em nossa página você verá instruções de pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.
PERIGOSO!
Não tente modificar arquivos ou usar sua própria chave privada - isso resultará na perda de seus dados para sempre! '

Quando as vítimas do ataque tentam se conectar ao domínio associado ao GandCrab Ransomware, a seguinte mensagem e texto será exibida:

'Bem vindo!
NÓS SOMOS DESLUMBIDOS, MAS TODOS OS SEUS ARQUIVOS FOI ENCRIPTADO!
ATÉ ONDE SABEMOS:
País
OS
Usuário de PC
Nome do PC
Grupo de PC
PC Lang.
HDD
Data de criptografia
Quantidade de seus arquivos
Volume de seus arquivos
Mas não se preocupe, você pode devolver todos os seus arquivos! Nós podemos ajudar você!
Abaixo você pode escolher um dos seus arquivos criptografados do seu PC e descriptografá-lo, é um decodificador de teste para você.
Mas podemos descriptografar apenas um arquivo gratuitamente.
ATENÇÃO! Não tente usar ferramentas de descriptografia de terceiros! Porque isso irá destruir seus arquivos!
O que você precisa?
Você precisa do GandCrab Decryptor. Este software irá descriptografar todos os seus arquivos criptografados e excluirá o GandCrab do seu PC. Para compra, você precisa do DASH de criptografia (1 DASH = 760,567 $). Como comprar essa moeda, você pode lê-la aqui.
Quanto dinheiro você precisa pagar? Abaixo estamos quantidade especificada e nossa carteira para pagamento
Preço: 1,5 DASH (1200 USD) '

O pedido de resgate do GandCrab Ransomware usa o Dash, uma moeda digital não muito diferente do Bitcoin. Os pesquisadores de segurança do PC são fortemente aconselhados a ignorar o conteúdo da nota de resgate do GandCrab Ransomware.

Atualização de 26 de outubro de 2018 - GandCrab 5.0.5 Ransomware

O GandCrab 5.0.5 Ransomware é uma versão atualizada do GandCrab Ransomware que foi relatada pelos analistas de malware perto do final de outubro de r2018. O lançamento do GandCrab 5.0.5 Ransomware é notável devido a mudanças no processo de criptografia e ao fato de ter surgido logo depois que um instrumento de descriptografia grátis foi lançado pela Europol (agência de segurança pública da União Européia) e parceiros no setor de segurança cibernética. O descriptografador gratuito foi possível graças à equipe do GandCrab ter lançano um decodificador gratuito para os usuários de PC na Síria, que pediram ajuda para recuperar fotos de familiares e parentes perdidos na Guerra Civil Síria de 2017-2018. Os pesquisadores de malware conseguiram desenvolver uma ferramenta baseada no código carregado pela equipe do GandCrab na Internet. Seguiu-se um curto período de teste e muitos utilizadores de PC afetados pelo Gand Crab v4 Ransomware receberam notificações de que podiam baixar um decifrador gratuito da Europol.

Infelizmente, o sucesso dos esforços conjuntos da indústria de segurança cibernética foi de curta duração. Os atores de ransomware empurraram a atualização do GandCrab 5.0.5 para os seus distribuidores, e a ameaça conseguiu comprometer mais usuários. A versão GandCrab 5.0.5 usa uma nova instrução de criptografia que torna o decodificador grátis obsoleto. É possível usar o instrumento da Europol para decifrar os arquivos afetados pelo GandCrab v4. No entanto, o novo GandCrab 5.0.5 Ransomware é invulnerável a tentativas de engenharia reversa. Vimos o GandCrab 5.0.5 Ransomware anexar cinco caracteres aleatórios a nomes de arquivos e deixar uma nota de resgate chamada '[extensão em maiúsculas]-DECRYPT.txt.' Uma das vítimas do GandCrab 5.0.5 informou que os arquivos apresentavam a extensão '.cyyjg'. Por exemplo, 'Ristretto coffee.docx' é renomeado como 'Ristretto coffee.docx.cyyjg' e a nota de resgate é salva na área de trabalho como 'CYYJG-DECRYPT.txt'. A nota de resgate inclui várias alterações em comparação com versões anteriores. O texto em '[extensão em maiúsculas]-DECRYPT.txt' pode ser assim:

'--- =GANDCRAB V5.0.5=---
Atenção!
Todos os seus arquivos, documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e possuem a extensão: .ROTXKRY
O único método de recuperar arquivos é comprar uma chave privada exclusiva. Só podemos dar-lhe esta chave e só podemos recuperar seus arquivos.
O servidor com sua chave está em uma rede fechada TOR. Você pode chegar lá das seguintes formas:
---------------------------------
| 0. Faça o download do navegador Tor - hxxps://www.torproject[.]org /
| 1. Instalar o navegador Tor
| 2. Abra o Navegador Tor
| 3. Abra o link no navegador TOR: hxxp://gandcrabmfe6mnef[.]onion/113737081e857d00
| 4. Siga as instruções nesta página
-------------------------------
Em nossa página você verá instruções de pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.
ATENÇÃO!
PARA PREVENIR DANOS DE DADOS:
* NÃO MODIFICAR ARQUIVOS ENCRIPTADOS
* NÃO MUDE DADOS ABAIXO
--- INICIAR A CHAVE GANDCRAB ---
[caracteres aleatórios]
--- END GANDCRAB KEY ---

--- INÍCIO DE DADOS DO PC ---
[identificador único]
--- END PC DATA --- '

O GandCrab 5.0.5 Ransomware continua sendo distribuído através de arquivos corrompidos do Microsoft Word, PDFs, páginas de phishing e atualizações falsas de fontes usadas no Mozilla Firefox e no Google Chrome. Como mencionado anteriormente, o GandCrab Ransomware é operado como uma plataforma d Ransomware-como-um-Serviço, e a ameaça é propagada de várias formas. Os usuários de PC são encorajados a evitar arquivos de locais não verificados e remetentes de e-mail e se abster de usar software pirata.

Atualização 3 de dezembro de 2018 - GandCrab 5.0.9 Ransomware

03 de dezembro de 2018 marcou uma grande atualização para o GandCrab Ransomware, que carrega o número de versão 5.0.9. O núcleo do GandCrab 5.0.9 Ransomware é o mesmo das versões anteriores, mas há novas funções adicionadas a ele, há novas camadas de ofuscação e a ameaça oferece serviços de descriptografia em troca de Bitcoin (BTC) e Dashcoin (DASH). Acredita-se que o GandCrab 5.0.9 Ransomware seja voltado para empresas de médio porte com pouca proteção para acesso remoto. A nova versão continua anexando uma extensão de arquivo personalizada que é gerada aleatoriamente em cada máquina infectada. Além disso, a nota de resgate é deixada em todas as pastas com dados criptografados.

O GandCrab 5.0.9 Ransomware pode estar em fase de testes no momento da redação, a julgar pela baixa taxa de infecção. Não há muitos relatórios de incidentes, mas as pesquisas indicaram que o GandCrab 5.0.9 Ransomware surgirá como a ameaça de criptografia dominante nos primeiros meses de 2019. Atualmente, o GandCrab 5.0.9 Ransomware é conhecido por anexar a extensão '.wwzaf'. e deixar uma mensagem intitulada 'WWZAF-DECRYPT.txt' nos diretórios. Por exemplo, 'Horizon Zero Dawn - The Frozen Wilds.docx' é renomeado para 'Horizon Zero Dawn - The Frozen Wilds.docx.wwzaf' e o usuário afetado é direcionado para ler o conteúdo do 'WWZAF-DECRYPT.txt' para obter as instruções de descriptografia. Os desktops comprometidos recebem uma nova imagem de fundo que é uma tela preta com o seguinte texto no centro:

'ENCRIPTADO POR GANDCRAB 5.0.9
SEUS ARQUIVOS ESTÃO SOB PROTEÇÃO FORTE POR NOSSO SOFTWARE. PARA RESTAURAR, VOCÊ DEVE COMPRAR DECRITOR
Para outras etapas, leia WWZAF-DECRYPT.txt, localizado em todas as pastas criptografadas.

O GandCrab 5.0.9 Ransomware emprega um novo layout de nota de resgate, mas continua a confiar na Rde TOR para verificar pagamentos de resgate. Como mencionado acima, os atores de Ransomware agora aceitam pagamentos em Bitcoin e Dashcoin conforme indicado no 'WWZAF-DECRYPT.txt':

'--- =GANDCRAB V5.0.9=---
*** EM NENHUMA CIRCUNSTÂNCIA, NÃO APAGUE ESTE ARQUIVO, ATÉ QUE TODOS OS SEUS DADOS SEJAM RECUPERADOS ***
*** FALHANDO PARA FAZER ISTO, RESULTARÁ NA SUA CORRUPÇÃO DO SISTEMA, SE HÁ ERROS DE DESCRIPTAÇÃO ***
Atenção!
Todos os seus arquivos, documentos, fotos, bancos de dados e outros arquivos importantes são criptografados e têm a extensão: .WWZAFThe único método de recuperar arquivos é comprar uma chave privada exclusiva. Só podemos dar-lhe esta chave e só podemos recuperar seus arquivos.
O servidor com sua chave está em uma rede fechada TOR. Você pode chegar lá das seguintes formas:
0. Baixar o navegador Tor - hxxps: //www.torproject.org/
1. Instalar o navegador Tor
2. Abra o Navegador Tor
3. Abra o link no navegador TOR: h[tt]p://gandcrabmfe6mnef[.]onion/da9ad04e1e857d00
4. Siga as instruções nesta página
Em nossa página você verá instruções de pagamento e terá a oportunidade de descriptografar 1 arquivo gratuitamente.
ATENÇÃO!
PARA PREVENIR DANOS DE DADOS:
* NÃO MODIFICAR ARQUIVOS ENCRIPTADOS
* NÃO MUDE DADOS ABAIXO
--- INICIAR A CHAVE GANDCRAB---
[caracteres aleatórios]
--- FINALIZAR A CHAVE DO GANDCRAB---
--- INÍCIAR OS DADOS DO PC---
[caracteres aleatórios]
--- FINALIZAR OS DADOS DO PC---'

Observa-se que a nova versão lê o nome da conta do sistema ativo e cumprimenta as vítimas com uma caixa de diálogo personalizada intitulada ';)' que diz: 'Olá, ' A caixa de diálogo é exibida por alguns segundos e, em seguida, seguida por outra mensagem de diálogo dizendo "Voltaremos em breve!;)' A única proteção confiável contra o GandCrab 5.0.9 Ransomware e ameaças cibernéticas semelhantes continua sendo a preparação, à medida que esses Trojans ransomware continuam a evoluir. Lembre-se de fazer backups de dados com a maior freqüência possível e ignorar e-mails de spam. As regras de detecção para o GandCrab 5.0.9 Ransomware nos arquivos apontam para:

Generic.Ransom.GandCrab4.56F1503D
Ran-GandCrabv4! 44C289E415E4
Ransom.Win32.GANDCRAB.SMK
Ransom: Win32 / Gandcrab.AW! Bit
TrojWare.Win32.Gandcrab.AA@7w10qu
Trojan (0053d33d1)
Trojan-Ransom.Win32.GandCrypt.fbd
Trojan.Encoder.26667
Trojan.Win32.Agent.142336.AE
Trojan.Win32.GandCrypt.4! C
Trojan.Win32.GandCrypt.fjrarj
Win32: MalOb-IF [Cryp]

SpyHunter detecta e remove GandCrab Ransomware