GandCrab

GandCrab ransomware is een type malware dat de bestanden van een slachtoffer versleutelt en losgeld eist om weer toegang te krijgen tot hun gegevens. GandCrab richt zich op consumenten en bedrijven met pc's waarop Microsoft Windows draait.

MALWAREBYTES GRATIS DOWNLOADEN

Ook voor Windows, iOS, Android, Chromebook en Voor bedrijven

Op 31 mei 2019 deden de cybercriminelen achter de GandCrab ransomware iets ongebruikelijks binnen de wereld van malware. Ze kondigden aan hun activiteiten te staken en mogelijk miljoenen dollars op tafel te leggen.

"Aan alle goede dingen komt een einde", schreven ze in een felicitatiepost op een berucht cybercrimeforum. Sinds de lancering in januari 2018 beweerden de auteurs van GandCrab meer dan $2 miljard aan illegale losgeldbetalingen te hebben binnengehaald en het was tijd "voor een welverdiend pensioen."

"We hebben dit geld met succes verzilverd en gelegaliseerd in verschillende sectoren van de blanke handel, zowel in het echte leven als op het internet," vervolgde het bericht. "We hebben bewezen dat door slechte daden te verrichten, vergelding niet komt."

Aangesloten partners, degenen die hielpen met het verspreiden van de ransomware voor een deel van de winst, werden aangemoedigd om hun activiteiten te staken terwijl slachtoffers werd verteld om nu te betalen of hun versleutelde gegevens voor altijd te verliezen.

Het bericht eindigde met een pittig bedankje u aan iedereen in de affiliate community voor "al het harde werk".

Hoewel het een vermakelijke bescheiden opschepperij is, blijven er verschillende vragen onbeantwoord. Hebben de makers van GandCrab echt zoveel geld verdiend als ze zeiden? Wie zijn deze jongens eigenlijk en zijn ze echt met pensioen? En nog belangrijker, is de GandCrab ransomware nog steeds een bedreiging voor consumenten?

In dit artikel proberen we al deze vragen te beantwoorden, bronnen te bieden voor slachtoffers en een epiloog te schrijven over het verhaal van GandCrab.f

Wat is GandCrab?

GandCrab ransomware werd voor het eerst waargenomen in januari 2018 en is een type malware dat bestanden van slachtoffers versleutelt en losgeld eist om weer toegang te krijgen tot hun gegevens. GandCrab richt zich op consumenten en bedrijven met pc's waarop Microsoft Windows draait.

De naam "GandCrab" klinkt als een seksueel overdraagbare aandoening en je zou kunnen denken dat het iets te maken heeft met de besmettelijke aard van de ransomware en de neiging om zich te verspreiden over bedrijfsnetwerken. Volgens ZDNet is de naam GandCrab echter mogelijk afgeleid van een van de makers die zich online "Crab" of "Gandcrab" noemt.

GandCrab infecteert geen machines in Rusland of de voormalige Sovjet-Unie - een sterke aanwijzing dat de auteur(s) in deze regio is (zijn) gevestigd. Er is verder weinig bekend over de GandCrab-crew.

GandCrab volgt een affiliate marketing bedrijfsmodel, ook wel Ransomware-as-a-Service (RaaS) genoemd, waarbij cybercriminelen op laag niveau het zware werk doen om nieuwe slachtoffers te vinden terwijl de auteurs van de bedreiging vrij zijn om aan hun creatie te sleutelen en deze te verbeteren.

Legitieme bedrijven maken voortdurend gebruik van affiliate modellen, met name Amazon. Laten we bijvoorbeeld zeggen dat u een blog heeft waar u elektronica beoordeelt, zoals koptelefoons, smartphones, laptops, computers, enz. Elke recensie bevat een unieke link waarmee bezoekers het artikel op Amazon kunnen kopen. In ruil voor het doorsturen van de klant naar Amazon u krijgen ze een percentage van de purchase price.

Wat GandCrab betreft, geven de auteurs van de bedreiging hun technologie weg aan andere ondernemende cybercriminelen (affiliates). Van daaruit is het aan de partners om uit te zoeken hoe ze nieuwe klanten (slachtoffers) kunnen vinden. Het losgeld dat wordt betaald, wordt 60/40 verdeeld tussen de partner en de GandCrab-crew of zelfs 70/30 voor topfilialen.

Cybersecurity-journalist Brian Krebs meldt dat een top 125.000 dollar aan commissies verdiende in de loop van een maand.

Door het affiliate model te gebruiken, kunnen criminelen met beperkte technische kennis meedoen aan de ransomware actie. En omdat lage criminelen verantwoordelijk zijn voor het vinden en infecteren van machines, kunnen de makers van GandCrab zich richten op het herzien van hun software, het toevoegen van nieuwe functies en het verbeteren van de encryptietechnologie. In totaal zijn er vijf verschillende versies van GandCrab.

Na infectie worden er duidelijk zichtbaar losgeldbriefjes op de computer van het slachtoffer geplaatst, die hen naar een website op het internet leiden. Dark Web (het verborgen deel van het web u heeft een speciale browser nodig om het te kunnen zien).

Als de slachtoffers op de Engelstalige versie van de website terechtkomen, krijgen ze het bericht "WELCOME! HET SPIJT ONS, MAAR ALLE uw BESTANDEN ZIJN GEÏNFECTEERD!".

Op latere versies van de losgeldwebsite stond Mr. Krabs uit de tekenfilmserie "Spongebob Square Pants". Blijkbaar maken cybercriminelen zich niet al te druk om schendingen van het auteursrecht.

Om de angst voor het betalen van losgeld weg te nemen, stelt GandCrab slachtoffers in staat om één bestand naar keuze gratis te ontsleutelen.

GandCrab betalingen worden gedaan via een obscure cryptocurrency genaamd Dash, gewaardeerddoor cybercriminelen vanwege de extreme focus op privacy. De losgeldeisen worden bepaald door de partner, maar liggen meestal ergens tussen de $600 en $600.000. Na betaling kunnen slachtoffers de GandCrab-decodeerder onmiddellijk downloaden en de code decoderen. Na betaling kunnen slachtoffers onmiddellijk de GandCrab decryptor downloaden en weer toegang krijgen tot hun bestanden.

Als slachtoffers problemen hebben met het betalen van het losgeld of het downloaden van de decryptor-tool, biedt GandCrab 24/7 "gratis" online chatondersteuning.

"GandCrab volgt een affiliate marketing bedrijfsmodel, ook wel Ransomware-as-a-Service (RaaS) genoemd, waarbij cybercriminelen op laag niveau het zware werk doen om nieuwe slachtoffers te vinden, terwijl de auteurs van de bedreiging vrij zijn om aan hun creatie te sleutelen en deze te verbeteren."

Wat is de geschiedenis van GandCrab?

uransomware een recente uitvinding is. In feite hebben alle vormen van ransomware, inclusief GandCrab, een basissjabloon gevolgd dat dertig jaar geleden is ingesteld door een vroege vorm van computervirussen.

De eerste proto-ransomware arriveerde in 1989 - letterlijk in de brievenbus van slachtoffers. AIDS, bekend als het AIDS computervirus, verspreidde zich via een 5,25" floppy disk die per slakkenpost naar de slachtoffers werd gestuurd. De diskette was gelabeld als "AIDS Information" en bevatte een korte enquête om het risico te meten dat iemand liep om het AIDS-virus (het biologische virus) op te lopen.

Het laden van de enquête startte het virus, waarna het virus de volgende 89 keer dat het opstartte inactief bleef. Bij de 90e keer dat hun computer werd opgestart, kregen de slachtoffers een melding op het scherm waarin werd gevraagd om te betalen voor "uw software lease". Als slachtoffers hun bestanden probeerden te openen, ontdekten ze dat alle bestandsnamen waren vervormd.

Losgeldbetalingen moesten worden gestuurd naar een postbus in Panama en in ruil daarvoor ontvingen slachtoffers een "vernieuwingssoftwarepakket" dat de quasi-versleuteling ongedaan zou maken.

De werkwijze van GandCrab en andere moderne ransomware-bedreigingen is relatief ongewijzigd sinds de dagen van het AIDS-computervirus. Het enige verschil is dat cybercriminelen tegenwoordig een enorm arsenaal aan advanced technologieën hebben waarmee ze consumenten kunnen aanvallen, infecteren en slachtofferen.

Toen GandCrab voor het eerst werd waargenomen in januari 2018, verspreidde het zich via schadelijke advertenties (ook wel malvertising genoemd) en valse pop-ups die werden aangeboden door gecompromitteerde websites. Als ze op een schadelijke site terechtkwamen, kregen de slachtoffers een waarschuwing op het scherm die hen vroeg om een ontbrekend lettertype te downloaden. Hierdoor werd de ransomware geïnstalleerd.

Tegelijkertijd met de infectiecampagne met lettertypen verspreidde GandCrab zich ook via met malware geladen e-mailbijlagen (ook wel malspam genoemd) die afkomstig waren van een botnet van gehackte computers (botnets worden ook gebruikt voor DDoS-aanvallen ). In een schoolvoorbeeld van social engineering werd in deze e-mails de onderwerpregel "Onbetaalde factuur #XXX" gebruikt. Gemotiveerd door angst, nieuwsgierigheid of hebzucht openden slachtoffers de e-mail en de bijgevoegde, met malware geladen "factuur".

Voor het grootste deel van de korte maar destructieve run, verspreidde GandCrab zich van de ene computer naar de andere via iets dat bekend staat als een exploit kit. Exploits zijn een vorm van cyberaanval die gebruik maakt van zwakke plekken of kwetsbaarheden op een doelsysteem om ongeautoriseerde toegang tot dat systeem te krijgen. Een exploit kit is een plug-and-play pakket van verschillende technologieën ontworpen om te profiteren van een of meer exploits.

Het Malwarebytes Labs team rapporteerde over ten minste vier verschillende exploitkits die worden gebruikt om GandCrab te verspreiden, waarover u meer kan lezen:

In februari 2018, een maand nadat GandCrab voor het eerst in het wild werd gespot, bracht cyberbeveiligingsbedrijf Bitdefender een gratis GandCrab-decoderingstool uit. Dit zette de auteurs van GandCrab ertoe aan om een nieuwe versie van hun ransomware uit te brengen met nieuwe encryptietechnologie. Op dit moment werkt de nieuwste versie van het decoderingstool op GandCrab versies 1, 4, 5.01 en 5.2. Tot op heden is er geen gratis decryptietool beschikbaar voor GandCrab versies 2 en 3.

In oktober 2018 noemde een slachtoffer van de Syrische burgeroorlog de makers van GandCrab "harteloos" voor het versleutelen van de foto's van zijn dode kinderen. Als reactie gaf de GandCrab-crew de decryptiesleutel vrij voor alle GandCrab-slachtoffers in Syrië en voegde Syrië toe aan de lijst van landen die niet het doelwit zijn van de GandCrab ransomware.

Ze willen 600 dollar om me mijn kinderen terug te geven, dat is wat ze hebben gedaan, ze hebben mijn jongens van me afgepakt voor een beetje smerig geld. Hoe kan ik ze 600 dollar betalen als ik nauwelijks genoeg geld heb om eten op tafel te zetten voor mij en mijn vrouw?
- جميل سليمان (@kvbNDtxL0kmIqRU) Oktober 16, 2018

In januari van 2019 werden voor het eerst leden gezien die gebruikmaakten van een zogenaamde RDP-aanval (Remote Desktop Protocol). Bij dit soort aanvallen scannen de daders een bepaald netwerk op systemen die zijn ingesteld voor externe toegang; dat wil zeggen, een systeem waarop een gebruiker of beheerder kan inloggen en dat hij vanaf een andere locatie kan bedienen. Zodra de aanvallers een systeem vinden dat is ingesteld voor externe toegang, proberen ze de inloggegevens te raden met behulp van een lijst met veelgebruikte gebruikersnamen en wachtwoorden (ook wel een brute force of woordenboekaanval genoemd).

Tegelijkertijd profiteerden GandCrab-filialen van een lang, hevig griepseizoen (21 weken) door de ransomware te verspreiden via phishing-e-mails die zogenaamd afkomstig waren van de Centers for Disease Control and Prevention (CDC), met als onderwerp "Waarschuwing voor grieppandemie". Het openen van het bijgevoegde Word-document met malware startte de ransomware-infectie.

Dankzij zijn leger van filialen, diverse aanvalsmethodologie en regelmatige codeherzieningen werd GandCrab al snel de meest voorkomende ransomware-detectie onder zakelijke en consumentendoelen voor 2018, zoals gerapporteerd in het Malwarebytes Labs State of Malware-rapport.

Ondanks het succes, of misschien wel dankzij het succes, stopte GandCrab in mei 2019, anderhalf jaar na de lancering. Onderzoekers op het gebied van cyberbeveiliging hebben een aantal theorieën naar voren gebracht over de reden.

GandCrab is niet zo succesvol als de makers deden voorkomen. We weten niet echt hoeveel geld de GandCrab-crew heeft verdiend. Hun claim van 2 miljard dollar aan verdiensten kan opgeblazen zijn en hier is waarom: Cybersecurity-onderzoekers ontwikkelden gratis GandCrab-decoderingstools voor eerdere versies van de ransomware. Nauwelijks twee weken nadat de GandCrab-ploeg aankondigde zich terug te trekken, gaven onderzoekers van Bitdefender een laatste decryptietool vrij waarmee de nieuwste versie van GandCrab kon worden gedecodeerd. Met een bredere bekendheid van de gratis decryptor-tools, vermijden steeds meer potentiële slachtoffers om losgeld te betalen.

De GandCrab-crew zal doorgaan met het maken van ransomware of andere malware onder een andere naam. Door aan te kondigen dat ze hun activiteiten hebben gestaakt, is de GandCrab-crew vrij om de wereld te kwellen met slinkse nieuwe bedreigingen, buiten het toeziend oog van cyberbeveiligingsonderzoekers en wetshandhavers. Onderzoekers op Malwarebytes rapporteerden over een nieuwe vorm van ransomware die een opvallende gelijkenis vertoonde met GandCrab.

Deze ransomware, bekend als Sodinokibi (aka Sodin, aka REvil), werd bijna twee maanden nadat GandCrab ermee ophield in het wild gezien en onderzoekers trokken meteen de vergelijking met de ter ziele gegane ransomware. Tot nu toe is er nog geen bewijs dat de GandCrab-crew de slechteriken achter Sodinokibi zijn, maar het is een veilige gok.

Om te beginnen volgt Sodinokibi hetzelfde ransomware-as-a-service model: de GandCrab-ploeg bezit en ondersteunt de software, waardoor elke cybercrimineel het kan gebruiken in ruil voor een deel van de winst.

Sodinokibi volgt hetzelfde iteratieve updateproces als GandCrab. Tot nu toe zijn er zes versies van Sodinokibi geweest.

Sodinokibi gebruikt een aantal van dezelfde infectievectoren, namelijk exploitkits en schadelijke e-mailbijlagen. In een nieuwe wending zijn de criminelen achter Sodinokibi echter begonnen om managed service providers (MSP) te gebruiken om infecties te verspreiden. In augustus 2019 ontdekten honderden tandartspraktijken in het hele land dat ze geen toegang meer hadden tot hun patiëntendossiers. Aanvallers gebruikten een gecompromitteerde MSP, in dit geval een softwarebedrijf voor medische dossiers, om de Sodinokibi ransomware te verspreiden onder tandartspraktijken die de software voor het bijhouden van dossiers gebruikten.

Tot slot vertonen de losgeldbrief en betaalsite van Sodinokibi meer dan een kleine gelijkenis met die van GandCrab.

Hoe bescherm je jezelf tegen GandCrab

Hoewel het Malwarebytes Data Sciences team meldt dat GandCrab-detecties sterk afnemen, hebben we nog steeds te maken met Sodinokibi en andere soorten ransomware. Dit gezegd hebbende, lees hier hoe je jezelf kunt beschermen tegen GandCrab en andere ransomware.

Maak een back-up van uw bestanden. Met regelmatige back-ups van gegevens wordt een ransomware-infectie een klein, zij het vervelend, ongemak. Wis en herstel eenvoudig uw systeem en ga verder met uw leven.

Wees op je hoede voor bijlagen en koppelingen in e-mails. Als u een e-mail ontvangt van een vriend, familielid of collega en het klinkt gewoon vreemd, denk dan twee keer na. Als de e-mail afkomstig is van een bedrijf waar u zaken mee doet, probeer dan naar de website van het bedrijf te gaan of, indien beschikbaar, de app te gebruiken.

Patch en update regelmatig. Door het systeem uw up-to-date te houden, kunnen aanvallers geen misbruik maken van exploits die kunnen worden gebruikt om ongeautoriseerde toegang te krijgen tot uw computer. Exploits, zoals u zich misschien herinnert, zijn de belangrijkste methode waarmee GandCrab doelsystemen infecteert. Evenzo, als u oude, verouderde software heeft op uw computer u die u niet meer gebruikt, verwijder deze dan.

Externe toegang beperken. De beste manier om je te beschermen tegen een Remote Desktop Protocol (RDP) aanval is door de toegang op afstand te beperken. Vraag jezelf af, moet dit systeem echt op afstand benaderd worden? Als het antwoord ja is, beperk de toegang dan in ieder geval tot de gebruikers die het echt nodig hebben. Beter nog, implementeer een virtueel privénetwerk (VPN) voor alle gebruikers op afstand. Op die manier wordt elke mogelijkheid van een RDP-aanval tenietgedaan.

Gebruik sterke wachtwoorden en hergebruik wachtwoorden niet op verschillende sites. Als een systeem absoluut op afstand toegankelijk moet zijn, gebruik dan een sterk wachtwoord met multifactorauthenticatie. Toegegeven, het onthouden van unieke wachtwoorden voor alle verschillende sites en applicaties die u gebruikt is een moeilijke, zo niet onmogelijke taak. Gelukkig kan een wachtwoordmanager dat voor u doen u.

Gebruik cyberbeveiligingssoftware. Bijvoorbeeld Malwarebytes Premium voor Windows blokkeert Trojaanse paarden, virussen, schadelijke downloads, slechte links en gespoofde websites zodat ransomware, zoals GandCrab, en andere malware-infecties nooit wortel kunnen schieten op uw systeem.

Hoe GandCrab verwijderen

Als u'al slachtoffer is geworden van GandCrab, is er een goede kans dat u het losgeld niet hoeft te betalen. Volg in plaats daarvan deze stappen om GandCrab te verwijderen van uw PC.

Toon bestandsextensies in Windows. Standaard verbergt Microsoft Windows bestandsextensies (zoals .exe en .doc) en u'moet deze extensies zien voordat u verder kan gaan met stap twee. Kortom, open Bestandsverkenner, klik op het tabblad Beeld en vink vervolgens Bestandsnaamextensies aan.
Bepaal de versie van GandCrab. Nu u bestandsextensies kan zien, kan u uitzoeken welke versie van GandCrab u heeft door de extensies op uw versleutelde bestanden te controleren.

GandCrab versie 1 geeft de .gdcb extensie.
GandCrab versie 2 en 3 geeft de .crab extensie.
GandCrab versie 4 geeft de .krab extensie.
GandCrab versie 5 geeft een gerandomiseerde 5 letter extensie.

De decryptor downloaden. Zoals eerder vermeld in dit stuk, is er een gratis GandCrab decryptor voor GandCrab versies 1, 4, 5.01 en 5.2. Als uw bestandsextensies overeenkomen met deze eerder genoemde versies, dan is uin orde. Helaas is er geen gratis decryptietool beschikbaar voor GandCrab versie 2 en versie 3.

Betaal het losgeld niet. Als uis geïnfecteerd door GandCrab versie 2 of versie 3 u kom je misschien in de verleiding om het losgeld te betalen - niet doen. Ervan uitgaande dat de GandCrab-servers nog steeds operationeel zijn, raden de FBI, Europol en INTERPOL allemaal aan om het losgeld niet te betalen. Er is geen garantie dat ude uw bestanden terugkrijgt en als je dat wel doet, markeer je u als een makkelijk doelwit voor toekomstige ransomware-aanvallen.