GandCrab Ransomware
GDCB Ransomware
(шифровальщик-вымогатель, RaaS)
Translation into English
Как удалить? Как расшифровать? Как вернуть данные?
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление.
См. также статьи УК РФ:
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации"
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из России, Беларуси, Казахстана, Украины >>>
Информация о шифровальщике
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) + RSA-2048 для ключей, а затем требует выкуп в 1-3 Dash (крипто-валюта), чтобы купить у вымогателей GandCrab Decryptor и вернуть файлы. Оригинальное название: GandCrab. На файле написано: GandCrab.exe. Разработчики: скрываются под никами kdabjnrg, GandCrab, крабы. Есть сведения, что среди распространителей шифровальщика есть знающие русский язык, действующие из Украины и Румынии. Филиалы могут быть и в других странах.
DrWeb -> Trojan.Encoder.24386
BitDefender -> Trojan.GenericKD.3004295
Kaspersky -> Trojan.Win32.Jorik.sbl
Symantec -> Ransom.GandCrab
TrendMicro -> Ransom_GANDCRAB.A
© Генеалогия: GandCrab > GandCrab-2 > GandCrab-3 > GandCrab-4 > GandCrab-5 > ...
Изображение не принадлежит шифровальщику (это логотип статьи)
К зашифрованным файлам добавляется расширение .GDCB
Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В первые дни распространения наибольшее количество пострадавших было в Южной Корее. Позже добавились пострадавшие из Бразилии, США, Индии, Индонезии, Пакистана и других стран. Спустя полтора месяца в числе стран с наибольшим количеством пострадавших: США (48%), Великобритания, Финляндия, Израиль (по 5%), Австралия (4%), Канада, Норвегия, Швеция (по 3%) и другие в меньшей степени.
Записка с требованием выкупа называется: GDCB-DECRYPT.txt
Содержание записки о выкупе:
---= GANDCRAB =---
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser - xxxxs://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3***
5. Follow the instructions on this page
If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:
1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3***
2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3***
3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3***
4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3***
5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3***
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
DANGEROUS!
Do not try to modify files or use your own private key - this will result in the loss of your data forever!
Перевод записки на русский язык:
---= GANDCRAB =---
Внимание!
Все ваши файлы, документы, фото, базы данных и другие важные файлы зашифрованы и имеют расширение: .GDCB
Единственный способ восстановления файлов - купить закрытый ключ. Это на нашем сервере, и только мы можем восстановить ваши файлы.
Сервер с вашим ключом находится в закрытой сети TOR. Вы можете добраться туда следующими способами:
1. Загрузите Tor-браузер - xxxxs: //www.torproject.org/
2. Установите Tor-браузер
3. Откройте Tor-браузер
4. Откройте ссылку в Tor-браузере: xxxx://gdcbghvjyqy7jclk.onion/6361f798c4ba3***
5. Следуйте инструкциям на этой странице
Если браузер Tor / Tor-браузер заблокирован в вашей стране или вы не можете его установить, откройте одну из следующих ссылок в вашем обычном браузере:
1. xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3***
2. xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3***
3. xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3***
4. xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3***
5. xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3***
На нашей странице вы увидите инструкции по оплате и получите возможность дешифровать 1 файл бесплатно.
ОПАСНО!
Не пытайтесь изменять файлы или использовать свой закрытый ключ - это приведет к потере ваших данных!
Информация также находится на Tor-сайте вымогателей. Они обещают по истечении отведенного для выкупа срока удвоить сумму выкупа.
Скриншоты с Tor-сайта вымогателей
По всей видимости это первый крипто-вымогатель, который требует выкуп в крипто-валюте Dash. Судя по скриншотам, Dash за день даже подрос.
Технические детали
Распространяется через два набора эксплойтов: RIG EK и GrandSoft EK. Используется фальшивое обновление шрифтов (Font Update). Также распространяется как RaaS на форумах кибер-андеграунда, в том числе в Рунете. Может также начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов, торрент-файлов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Это изображение из ресурсов шифровальщика. было представлено исследователем.
О чём это говорит?
Тут могут быть разные варианты.
➤ 1. Распространение на подпольных форумах как RaaS и по партнерской программе. Запрещено запускать и работать в странах СНГ: Армения, Азербайджан, Беларусь, Грузия, Кыргызстан, Казахстан, Молдова, Россия, Таджикистан, Туркменистан, Украина, Узбекистан (краткий код стран - AM, AZ, BY, GE, KG, KZ, MD, RU, TJ, TM, UA, UZ).
➤ 2. Распространение через спам-рассылки с вредоносным вложением (PDF.EXE, DOC.JS, DOCM) и загрузками вредоносного содержимого с определённых сайтов. Для запуска скриптов используется технология PowerShell из набора Windows.
- Пример темы письма: Receipt Feb-078122
- Пример вложения: Feb01221812.pdf
➤ GandCrab использует сервис определения IP-адреса атакуемого компьютера (whatismyipaddress.com), чтобы атаковать только ПК, находящиеся в Южной Корее или Западной Европе.
➤ Разработчики GandCrab используют DNS-сервер NameCoin, т.к. это затрудняет правоохранительным органам отслеживание владельца домена и удаление доменов.
➤ GandCrab проверяет наличие в системе exe-файлов антивирусов от следующих производителей: Avast, Avira, Comodo, ESET, F-Secure, Kaspersky, McAfee, Microsoft, Norton/Symantec, Panda, Trend Micro:
➤ При первом запуске GandCrab попытается подключиться к C&C-серверу вымогателей, размещенному на одном из доменов Namecoin.
При запросе адресов следующих доменов, используется команда nslookup [insert domain] a.dnspod.com, которая запрашивает сервер a.dnspod.com, поддерживающий TLD.bit (иначе говоря, домен верхнего уровня .BIT), для одного из доменов ниже:
bleepingcomputer.bit
nomoreransom.bit
esetnod32.bit
emsisoft.bit
gandcrab.bit
➤ Если компьютер жертвы не может подключиться к C&C-серверу, то шифровальщик GandCrab не будет шифровать файлы, но он будет продолжать работу в фоновом режиме, пытаясь получить IP-адрес для C&C-сервера и подключиться к нему. Как только он сможет разрешить домен, он подключится к IP-адресу C&C-сервера.
➤ В настоящее время неизвестно, какие данные отправляются и извлекаются, но C&C-сервер, скорее всего, отправляет открытый ключ, который используется для шифрования файлов. Зато известно, какую информацию GandCrab собирает: имя пользователя, версия ОС, системный язык, наличие антивируса, тип и архитектура процессора, активные и используемые диски (по-буквенно) и прочее.
➤ Во время этого процесса, GandCrab также будет подключаться к ipv4bot.whatismyipaddress.com для определения общедоступного IP-адреса жертвы.
Это закроет любые дескрипторы файлов, открытые этими процессами, чтобы их можно было правильно зашифровать.
Вот список процессов в текстовом виде и на картинке:
msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thebat64.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe
Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .ascx, .asf, .asm, .asp, .aspx, .asset, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .forge, .fpx, .fxg, .gbr, .gho, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re4, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .slm, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tax, .tbb, .tbk, .tbn, .tex, .tga, .thm, .tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xps, .xxx, .ycbcra, .yuv, .zip (456 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
GandCrab пропускает файлы, полный путь которых содержит следующие строки:
ProgramData, Program Files, Tor Browser, Ransomware, All Users, Local Settings, desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, GDCB-DECRYPT.txt, .sql
Файлы, связанные с этим Ransomware:
GDCB-DECRYPT.txt
GandCrab.exe
nslookup.exe
apaluj.exe
kpmbri.exe
<random>.exe
\Crypto\
Всего отбрасывает 1976 различных файлов.
GandCrab_Decryptor.exe - дешифровщик от вымогателей
private.gandcrab - файл с закрытым ключом от вымогателей
Скриншот декриптора от вымогателей
Расположения:
\Desktop\ -> GDCB-DECRYPT.txt
\User_folders\ -> GDCB-DECRYPT.txt
\System Volume Information\ -> GDCB-DECRYPT.txt
\Temp\GandCrab.exe
%APPDATA%\Microsoft\apaluj.exe
%Appdata%\Microsoft\Crypto\
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://gandcrab.bit (78.155.206.6) - C2
xxxx://a.dnspod.com (112.90.141.215) - DNS-сервер
xxxx://ipv4bot.whatismyipaddress.com (66.171.248.178 США)
xxxx://66.171.248.178/
xxxx://92.53.66.11/***
xxxx://bot.whatismyipaddress.com/
---
xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.top/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.casa/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.guide/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.rip/6361f798c4ba3647
xxxx://gdcbghvjyqy7jclk.onion.plus/6361f798c4ba3647
---
xxxx://gdcbghvjyqy7jclk.onion/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.casa/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.guide/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.plus/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.rip/6c6a47a5c33fdc78
xxxx://gdcbghvjyqy7jclk.onion.top/6c6a47a5c33fdc78
---
xxx://sorinnohoun.com/*** - для загрузки вредоносного содержимого (PowerShell-скрипт)
См. ниже результаты анализов.
Результаты анализов:
ANY.RUN анализ и обзор >>
ANY.RUN анализ и обзор декриптора >>
Гибридный анализ >> еще >>
VirusTotal анализ >>
Broad анализ >>
Степень распространённости: высокая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
GandCrab RaaS Ransomware
GandCrab-2 Ransomware
GandCrab-3 Ransomware
GandCrab-4 Ransomware
GandCrab-5 Ransomware
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 31 января 2018:
Пост в Твиттере >>
Файл: Font_update.exe
Результаты анализов: VT + HA
ВНИМАНИЕ!!! GandCrab использует трюк с поддельным установщиком шрифтов (шрифт HoeflerText), который загружается со специально подготовленных сайтов. Установка вредоноса под видом шрифта — это давний излюбленный приём злоумышленников. Нельзя принимать на компьютер шрифты с ехе-расширениями и другими нетипичными для шрифтов. И даже в типичных случаях, если вы загрузили внешне легитимный файл шрифта с какого-то сайта, необходима тщательная проверка файла своим антивирусом и на сайтах онлайн-анализа. Только при 100% положительном результате используйте шрифт на своем компьютере.
Трюк со шрифтом HoeflerText ранее использовался во вредоносной кампании Spora Ransomware и некоторых других.
Обновление от 5 февраля:
Пост в Твиттере >>
dns.soprodns.ru - новый DNS-сервер
nomoreransom.coin - новый C2-сервер
Результаты анализов: AR + VT
Обновление от 7 февраля:
К распространению добавился malspam (спам-рассылки с вредоносами).
Письма замаскированы под платежные квитанции с темами типа Receipt Feb-078122.
Если получатель откроет вложение без предварительной проверки антивирусной программой, то по содержащейся в нём ссылке с сайта butcaketforthen.com сразу загружается DOC-файл с макросом, который запускает PowerShell-скрипт, устанавливающий GandCrab с сайта sorinnohoun.com
Статья об этом обновлении на BleepingComputer.com >>
Файл: nslookup.exe
Результаты анализов: VB + VT + HA
Обновление от 21 февраля 2018:
GandCrab версия 2.3r
Пост в Твиттере >>
Результаты анализов: VT
Обновление от 23 февраля 2018:
GandCrab версия 2.3.1r
Пост в Твиттере >>
Результаты анализов: VT + Cape
Обновление от 27 февраля 2018:
GandCrab версия 2.3.2r
Пост в Твиттере >>
Результаты анализов: VB
Обновление от 1 марта:
Заявление русскоязычных распространителей, которые называют себя — крабы.
=== 2019 ===
Обновление от 1 июня 2019. GandCrab закрылся!
Представитель GandCrab на форуме, где они изначально продвигали свое вредоносное решение среди таких вымогателей, хакеров и прочих представителей кибер-криминала, сообщил о закрытии проекта GandCrab. При этом он заявил, что вместе с закрытием вымогательского проекта GandCrab они намерены удалить все ключи дешифрования, что исключить возможность восстановления файлов на ПК пострадавших. Таким образом они или хотят побудить пострадавших заплатить неуплаченные ранее выкупы, или же в самом деле планируют уничтожить ключи.
В отличие от них, как известно, разработчики других шифровальщиков (TeslaCrypt, Crysis и пр.) в своё время публиковали оставшиеся ключи в открытый доступ, чтобы жертвы могли восстановить свои данные, пусть и не сами, а с помощью разработчиков дешифровщиков и специалистов антивирусных компаний.
За последний месяц распространения (май 2019) у GandCrab наблюдалось стойкое снижение вредоносной и клиентской активности. Потому его закрытие было предрешено.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для зашифрованных файлов есть декриптер Скачать GandCrab Decrypter для дешифровки >> В первую очередь прочтите инструкцию и рекомендации. Самое главное — не сделать себе хуже, чем уже есть.
Read to links: Tweet on Twitter + Tw + Tw + Tw + Tw + Tw ID Ransomware (ID as GandCrab) Write-up (add. January 29, 2018), Topic of Support 🎥 Video review
- Видеообзор сделан CyberSecurity GrujaRS
Thanks: AnyRun, GrujaRS, David Montenegro MalwareHunterTeam, Marcelo Rivero Andrew Ivanov and my volunteers Lawrence Abrams, Marcelo Rivero and others...
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private