Πως λειτουργεί ο GandCrab 5.1

Πως λειτουργεί ο GandCrab 5.1. O Ransomware διασπείρεται με νέα καμπάνια malspam, η οποία προωθείται από τον ίδιο server ο οποίος μέχρι πρόσφατα προωθούσε το Ursnif banking trojan.

Πως λειτουργεί η καμπάνια του GandCrab 5.1

Τρόπος προώθησης του ransomware

Το υποψήφιο θύμα λαμβάνει ένα email το οποίο έχει επισυναπτόμενο ένα μολυσμένο αρχείο Word.  Το email έχει ως αποστολέα κάποια Rosie L. Ashton και θέμα “Up to date emergency exit map” και υποτίθεται ότι περιέχει τα σχέδια του κτιρίου του θύματος με τις εξόδους κινδύνου.

email με επισυναπτόμενο μολυσμένο αρχείο Word
email με επισυναπτόμενο μολυσμένο αρχείο Word

Αν ανοίξουμε το email με το επισυναπτόμενο μολυσμένο αρχείο Word

word μολυσμένο με gandcrab 5,1
word μολυσμένο με gandcrab 5,1

δηλαδή μόνο τις λέξεις Emergency exit map και την προειδοποίηση ότι οι μακροεντολές είναι απενεργοποιημένες, με την προτροπή να τις ενεργοποιήσουμε.

Αν ενεργοποιήσουμε τις μακροεντολές, (ΚΑΤΙ ΠΟΥ ΔΕΝ ΘΑ ΠΡΕΠΕΙ ΠΟΤΕ ΝΑ ΚΑΝΕΤΕ, ΙΔΙΩΣ ΑΝ ΔΕΝ ΕΙΣΤΕ 10000% ΣΙΓΟΥΡΟΙ ΓΙΑ ΤΟ ΠΕΡΙΕΧΟΜΕΝΟ ΤΟΥ ΑΡΧΕΙΟΥ ΚΑΙ 1000000% ΣΙΓΟΥΡΟΙ ΓΙΑ ΤΟ ΤΙ ΚΑΝΕΤΕ) τότε θα εκτελεστεί ένα powershell script το οποίο κατεβάζει και εγκαθιστά τον GandCrab 5.1.

powershell script κατεβάζει GandCrab 5.1
powershell script κατεβάζει GandCrab 5.1

Το σκριπτάκι είναι κωδικοποιημένο, έτσι ώστε να μην είναι εξαρχής σαφές για το τι κάνει:

κωδικοποιημένο αρχείο με ransomware
κωδικοποιημένο αρχείο με ransomware

Putty.exe πως κωδικοποιεί τα αρχεία ?

Αν το αποκωδικοποιήσουμε, θα δούμε ότι κατεβάζει ένα αρχείο που λέγεται putty.exe (που φυσικά δεν έχει καμία σχέση με το γνωστό putty) από τη διεύθυνση http://cameraista.com/olalala/putty.exe,
το σώζει στο C:Windowstempputty.exe και το εκτελεί. Όταν εκτελεστεί το putty.exe, θα κρυπτογραφήσει όλα τα αρχεία του υπολογιστή:

putty.exe, κρυπτογραφεί όλα τα αρχεία του υπολογιστή
putty.exe, κρυπτογραφεί όλα τα αρχεία του υπολογιστή

Πως είναι το Ransom Note του GandCrab 5.1?

O ransomware GandCrab 5.1 αφήνει σε κάθε φάκελο το αντίστοιχο Ransom Note και όπως θα δείτε ενημερώνει τον χρήστη ότι τα αρχεία του είναι πλέον κρυπτογραφημένα και για να μπορέσουν να αποκρυπτογραφηθούν πρέπει να πληρώσει τα λύτρα.

Ransom Note του GandCrab 5.1
Ransom Note του GandCrab 5.1

Είναι δυνατή η αποκρυπτογράφηση του GandCrab 5.1 ?

Δυστυχώς, μέχρι και τον Ιανουάριο του 2019 που γράφτηκε το άρθρο δεν είναι δυνατή η αποκρυπτογράφηση του GandCrab 5.1. Θα επαναλάβουμε πώς:

  1. Δεν πρέπει να ανοίγετε επισυναπτόμενα εκτός αν επιβεβαιώσετε ότι το email προοριζόταν για εσας ακόμα και αν ο αποστολέας είναι γνωστός σας, καθώς μπορεί να έχει μολυνθεί ή να πρόκειται για spoof.
  2. Έχετε εγκατεστημένο και ανανεωμένο κάποιο καλό λογισμικό antivirus.
  3. Διαβάστε τον οδηγό μας για την πρόληψη των Ransomware: https://northwind-data-recovery.blogspot.com/2017/03/odigos-apofigis-ransomware.html
  4. Ευχαριστούμε την BleepingComputer για την παροχή υλικού.

Update: GandGrab Ransomware βρέθηκε η λύση

Xάρη στην ομάδα του NoMoreRansom μπορούμε να αποκρυπτογραφήσουμε τα δεδομένα σας από τον τελευταίο GandGrab Ransomware βρέθηκε η λύση.

Επικοινωνήστε μαζί μας στο tech@northwind.gr για ανάκτηση δεδομένων και ολική λύση.

Πως λειτουργεί ο GandCrab 5.1

H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.

Μπορεί επίσης να σας αρέσει...