不到一个月前,那些认为 GandCrab 已经结束的人是错误的。这种可怕的勒索软件自今年年初以来一直肆虐,攻击个人和企业,而且比以往任何时候都更加强大。 10 月底,Bitdefender 终于提供了一线希望一个工具这使得解密被版本 4 和 5 阻止的文件成为可能。但是该恶意代码的作者并没有让这一挫折打扰他们。第二天,他们发布了新版本(5.0.4),该版本目前牢不可破,并且传播速度极快,包括在法国。
@BitdefenderFRgandcrab 5.0.4 昨晚感染了我,我的所有文件都被加密了!帮助!#欧洲刑警组织 #阿莱德
— 弗兰克(@Franck16253421)2018 年 11 月 18 日
GandCrab 受害者遍布世界各地。要确信这一点,只需查看 Bitdefender 工具执行的解密次数即可。迄今为止,它已解锁了超过6100台计算机的文件,其中中国557台、韩国385台、印度376台和美国366台。法国以 134 次成功解密排名第 12 位。“GandCrab 赎金起价为 600 美元。对于海盗来说,这相当于至少 360 万美元的缺口。,欢迎 Bitdefender 威胁研究总监 Bogdan Botezatu。据出版商估计,自去年 7 月以来,GandCrab 已感染了超过 500,000 台计算机。所以还有很多工作要做。
发布者还会收到解密尝试失败的通知。“我们已经收到超过 11,000 个,它们对应于 5.0.4 版本”。,导演告诉我们。几乎每一次失败的尝试都伴随着一条遇险消息,该消息到达博格丹·博特扎图的消息系统中。这会根据具体情况直接回复受害者或将消息传输给技术支持。有些消息让他心碎。“有些人丢失了已故儿子的最后一张照片或他们多年来一直从事的项目的数据。而且他们不一定有能力支付 600 美元。”,他解释道。
与时间赛跑
如果您的计算机已受到 GandCrab 的影响,只需阅读恶意软件显示的文本消息即可找出版本号。如果它是 1、4 或版本 5 早于 5.0.4,那么您很幸运,可以使用 Bitdefender 的解密工具。否则,您必须备份加密文件以供以后解密。在所有情况下,您必须首先通过执行抗病毒分析来清洁磁盘。
为此,最好使用 Bitdefender(免费版本就足够了)。一些竞争性安全解决方案不仅会删除恶意代码,还会删除短信。但是,这包含与允许解密文件的私钥相关联的公钥。“如果没有这个文本文件,数据将永远丢失””,博格丹·博特扎图强调。
自 2018 年 1 月 GandCrab 首次出现以来,安全研究人员一直在与时间赛跑。当 Bitdefender 在 2 月份推出第一个解密工具时,网络犯罪分子推出了版本 2 和版本 3,但至今仍未被破解。 8 月份,当 AhnLab 研究人员发布了 4.1.2 版本的疫苗时,黑客以 4.3 版本作为回应,该版本利用了 AhnLab 安全软件中的零日漏洞,旨在导致计算机崩溃。“嘿AhnLab,比分是1:1”,我们可以读入恶意软件代码吗?
自动调整的赎金
据 Bitdefender 称,GandCrab 显然是 2018 年造成最大损失的勒索软件。“作者速度很快,他们的加密系统也很可靠。他们还采用了商业模式非常有效 »,导演继续说道。 GandCrab 作者不会直接动手,而是将勒索软件出售给第三方组织,第三方组织将发起攻击以换取收入分成。
这个模型并不新鲜,但有了 GandCrab,它变得更加完善。因此,该恶意软件能够根据计算机上找到的文件以及受害者的类型自动调整赎金的高度。如果他只找到度假照片和一些 Word 文档,那就是 600 美元。如果是专业的数据库,就要几千甚至几万美元。据 Bitdefender 称,GandCrab 的赎金最高可达 70 万美元。足以危害任何活动。
谁是 GandCrab 的幕后黑手?可能是俄罗斯黑手党。这是因为该恶意软件不会感染位于俄罗斯联邦的计算机。这表明海盗是从这个区域进行活动的,因为我们看不到我们所在的树枝。面对有组织犯罪,显然必须采取某些预防措施。因此,Bitdefender 永远不会透露版本 4 和 5 的解密密钥是如何找到的。“这项工作是与执法部门合作的结果。就我个人而言,我不知道他们是如何做到的,我也不想知道。我不想接待 GandCrab 成员的来访。这些人玩大了。他们产生巨额金钱,并且是黑社会的一部分。不存在冒险的问题””,博格丹·博特扎图强调。
