Het GandCrab crypto-virus is een van de nieuwste ransomware infecties en beveiligingsonderzoekers geven het aan als zeer ernstig. Deze malware heeft wat intrigerende kenmerken die men nog niet gedetecteerd had bij virussen uit deze categorie. Een campagne met de naam Seamless is een malvertising ketting, die de RIG exploit kit duwt en vaak de Ramnit Trojaan levert. De Alcatraz ransomware werd ook op deze manier verdeeld.
Nu echter, neemt deze campagne het GandCrab virus onder zijn vleugels. De ransomware gebruikt zowel AES als RSA codering en voegt de .GDCB extensie toe aan de beschadigde digitale bestanden.
De GandCrab crypto-malware voegt de .GDCB extensie toe aan versleutelde digitale data
Een ander interessant detail aan deze GandCrab crypto-malware is dat het een open source, peer-to-peer DASH cryptocurrency aanvaard. We hebben nog nooit gezien dat ransomware ontwerpers vergoedingen onder deze digitale vorm eisten. Verrassend is het echter niet aangezien Bitcoin reeds vervangen werd door Monero bij een aantal van de virussen die we reeds voordien besproken hebben.
Het GandCrab crypto-virus zal een GDCB-DECRYPT.txt bestand toevoegen aan de computers van zijn slachtoffers. Het uitvoeringsbestand zal de eerste instructies van de hackers introduceren. Slachtoffers moeten de TOR-browser downloaden, welke surfers toelaat sites te bezoeken die op een normale browser niet bereikt kunnen worden. Dit programma opent de deuren naar het dark en diepe web, maar we hopen dat je niet aan een reis er doorheen begint (The Dangers Of Exploring The Dark Web – Stay Away! Be Safe!).
Van zodra mensen de vereiste pagina openen via TOR (gdcbghvjyqy7jclk.onion), zal de geopende site informatie tonen over de geïnfecteerde computer: locatie volgens IP-adres, besturingssysteem, pc-gebruiker, ingestelde taal enz.
Slachtoffers kunnen 1 versleuteld bestand uploaden naar de pagina en het decoderen. Het digitale bestand mag niet groter zijn dan 2MB en moet een van de volgende types zijn: txt, jpg/jpeg, bmp, png, gif. Om alle bestanden te herstellen, eisen de hackers 1,5 DASH. Op de TOR-website, wordt er gesteld dat dit overeenkomt met $1200. Op het moment van schrijven, was de eigenlijke waarde van 1 DASH: $1135,11.
Het GandCrab virus kan verscheidene payloads hebben. Tijdens het onderzoek, merkten we deze kwaadaardige bestanden op: 4.exe en 2018-01-29_00-38-31.exe. Volgens het auteursrecht op deze bestanden, werden ze gegenereerd door een onbekende bron genaamd “kdabjnrg”.
Is er een manier om bestanden die beschadigd werden door het GandCrab virus te decoderen?
Op het moment van schrijven hebben beveiligingsonderzoekers nog geen gegarandeerde manier gevonden voor het herstellen van versleutelde bestanden. Daar het erop lijkt dat dit GandCrab crypto-virus zeer actief verspreid wordt, zijn we er zeker van dat specialisten aan het zoeken zijn naar een manier om een gratis bestand decoder te ontwikkelen. Tot dan hopen we dat je niet zal besluiten om 1,5 DASH aan de hackers te sturen. Laat je geen angst aanjagen door het bericht, dat stelt dat je maar 5-4 dagen hebt om het losgeld te betalen.
Langs de andere kant, er is misschien een manier om de bestanden handmatig te decoderen. Controleer of de Shadow Volume Copies onaangeroerd bleven. Daarnaast kunnen ook sommige tools van derden je zeer goed helpen in het geval van ransomware. Voor je echter een herstel probeert, moet je de crypto-malware verwijderen.
UPDATE: Er werd een decoderingstool uitgebracht door BitDefender Labs You can download decrypter there
Hoe worden ransomware infecties zoals de GandCrab malware verspreid?
Wel, dit bepaalde exemplaar wordt verdeeld tijdens de Seamless campaign, welke met dwang RIG exploit kits stuwt. Dit is een veel gebruikte strategie voor het leveren van ransomware infecties. Virussen kunnen echter ook binnendringen via slecht beschermde RDPs, of geïnstalleerd worden vanop een kwaadaardige online advertentie/website. Om je besturingssysteem vrij te houden van kwetsbaarheden, raden we je aan om regelmatig alle software en je OS bij te werken.
Om jezelf te beschermen tegen malware infecties, moet je voorzichtig zijn tijdens het surfen. Klik niet zomaar op willekeurige inhoud. Download geen software vanop onbekende of illegale bronnen. Als je deze strijd tegen hackers te moeilijk vindt, bieden we je wat hulp aan. Installeer Spyhunter en experimenteer met hun geweldige eigenschappen. Deze programma’s zullen in staat zijn om alle malware parasieten te detecteren en je apparaat zal deftig beschermd worden.
Update van 1 maart 2018. Onderzoekers zijn erin geslaagd een gratis decodering software te ontwikkelen voor de slachtoffers van het GandCrab ransomware virus. Dankzij deze nieuwe ontwikkeling, moeten gebruikers niet langer overwegen het losgeld te betalen als ze hun bestanden willen herstellen. Alles wat ze moeten doen is de nieuwe decoder van BitDefender downloaden en hun data gratis herstellen. De hackers geven echter niet zomaar op en verdelen de infectie nog steeds via het nep “HoeflerFont wasn’t found” bericht. Je kan het gratis decodering tool downloaden vanop BitDefender here.
Automatische tools Malware verwijderen
(Win)
Opmerking: Spyhunter proef levert detectie van parasieten zoals Gandcrab Ransomware en helpt bijde verwijdering ervan gratis. beperkte proefversie beschikbaar, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Opmerking: Combo Cleaner proef levert detectie van parasieten zoals Gandcrab Ransomware en helpt bijde verwijdering ervan gratis. beperkte proefversie beschikbaar,