باج افزار GandCrab برای اولین بار در ژانویه سال 2018 مشاهده شد. این باج افزار فایل های قربانیان را رمزنگاری کرده و برای رمزگشایی آن ها خواستار دریافت باج است. باج افزار GandCrab، هم کاربران خانگی و هم شبکه های سازمانی را مورد هدف قرار می دهد و مختص سیستم عامل های ویندوزی است.
احتمال دارد که نامی مانند GandCrab، ارتباطی با ماهیت باج افزار و تمایل آن به گسترش در شبکه های سازمانی داشته باشد. با اینحال به گفته ZDNet، نام GandCrab از یکی از سازندگان آن گرفته شده است. این باج افزار سیستم ها و شبکه های موجود در کشور روسیه یا اتحاد جماهیر شوروی سابق را آلوده نکرده است.
بنابراین احتمال زیادی وجود دارد که نویسندگان این باج افزار در این کشور مستقر هستند. متاسفانه اطلاعات کمی درباره سازندگان این باج افزار در دست است. این باج افزار تحت عنوان یک سرویس (RaaS) به مجرمان سایبری سطح پایین تر به عنوان همکار ارائه می شود و از این سیستم همکاری برای گسترش بیشتر خود استفاده می کند.
روش کار به این صورت است که در ابتدا تکنولوژی این باج افزار در اختیار همکار قرار می گیرد. حال وظیفه یافتن قربانی و آلوده سازی سیستم و شبکه، به عهده همکار خواهد بود. هر میزان باج دریافتی، میان سازندگان GandCrab و همکار به شکل توافقی تقسیم می شود. این مدل همکاری، در شرکت های بزرگی همچون آمازون نیز برای همکاری در فروش محصولات وجود دارد و باج افزار GandCrab نیز از سیستم مشابهی استفاده می کند.
این سیستم همکاری به سازندگان باج افزار GandCrab اجازه می دهد تا وظیفه انتشار و گسترش باج افزار را به افراد دیگر واگذار کرده و خودشان بر روی توسعه ویژگی های باج افزار و بهبود تکنولوژی رمزنگاری تمرکز کنند.
پس از آلوده شدن کامپیوتر، فایل متنی باج افزار در کامپیوتر قربانی قرار می گیرد و آن ها را به یک وب سایت در دارک وب جهت پرداخت باج هدایت می کند. جهت ایجاد اطمینان خاطر، این صفحه به قربانی اجازه می دهد یکی از فایل های منتخب خود را بصورت رایگان رمزگشایی کند. پرداخت های این باج افزار از طریق رمز ارزی به نام Dash انجام می شود که به دلیل تمرکز بسیار زیاد بر حریم خصوصی، مورد علاقه مجرمان سایبری است.
میزان باج معمولا توسط همکاران تعیین می شود و چیزی در حدود 600 تا 600000 دلار می باشد. پس از پرداخت باج، قربانیان می توانند بلافاصله ابزار رمزگشا را دانلود کرده و مجدداً به فایل های خود دسترسی پیدا کنند. در صورتی که افراد در پرداخت باج یا دانلود ابزار رمزگشا با مشکلی روبرو شوند، این باج افزار پشتیبانی رایگان 7/24 بصورت چت آنلاین ارائه می دهد.
تاریخچه باج افزارGandCrab
در واقع بیشتر انواع باج افزارها، مانند خود باج افزار GandCrab، از یک الگوی اولیه پیروی می کنند که اولین نوع باج افزارها نیز از آن استفاده می کردند. روش کار GandCrab و سایر باج افزارهای مدرن نسبتاً بدون تغییر باقی مانده است. تنها تفاوت در این است که مجرمان سایبری، امروزه دارای ابزارهای گسترده و فناوری های پیشرفته ای هستند که به وسیله آنها می توانند کاربران زیادی را مورد هدف قرار دهند.
باج افزار GandCrab برای اولین بار در ژانویه 2018 مشاهده شد و از طریق تبلیغات مخرب و pop-up های وبسایت های آلوده گسترش یافت. با ورود به یک سایت آلوده، قربانیان هشداری دریافت می کردند که از آنها خواسته می شد برای مشاهده محتوای سایت، فونت مورد نظر سایت را دانلود کنند. با دانلود و اجرای فایل نصب، سیستم به باج افزار آلوده می شد. همچنین، باج افزار GandCrab به طور همزمان از طریق پیوست های ایمیلی که از یک بات نت هک شده ارسال می شد، گسترش یافت. این ایمیل ها با عنوان “فاکتور پرداخت نشده #XXX” ارسال می شد و در آن از ترفندهای مهندسی اجتماعی بهره گیری شده بود.
همچنین این باج افزار از طریق کیت اکسپلویت نیز از یک کامپیوتر به کامپیوتر دیگر انتقال می یافت. اکسپلویت نوعی حمله سایبری است که برای نفوذ به یک سیستم، از نقاط ضعف یا آسیب پذیری سیستم هدف استفاده می کند.
در فوریه سال 2018، یک ماه پس از مشاهده باج افزار GandCrab برای اولین بار، شرکت امنیت سایبری Bitdefender یک ابزار رمزگشای رایگان برای GandCrab منتشر کرد. این امر باعث شد تا نویسندگان GandCrab، نسخه جدیدی از باج افزار را با فناوری رمزنگاری جدید منتشر کنند.
در حال حاضر این ابزار رمزگشا برای نسخه های 1، 4، 5.01 و 5.2 GandCrab کار می کند. تا به امروز، هیچ ابزار رمزگشای رایگانی برای نسخه های 2 و 3 این باج افزار منتشر نشده است.
در ژانویه سال 2019، برای اولین بار استفاده از پروتکل (RDP) در انتشار این باج افزار مشاهده شد. در این نوع حمله، سیستم هایی که سرویس ریموت دسکتاپ برای آن ها فعال شده، اسکن می شوند. پس از یافتن سیستمی با این مشخصات، مهاجمان سعی می کنند با استفاده از روش Brute Force، اطلاعات ورود (یوزرنیم و پسورد) سیستم را حدس بزنند. پس از به دست گرفتن کنترل سیستم به وسیله مهاجم، بارگذاری و اجرای باج افزار انجام خواهد شد.
در همین زمان نیز از فصل طولانی آنفولانزا (حدودا 21 هفته) بهره بردند و با استفاده از ارسال ایمیل های فیشینگ که به ظاهر از سازمان CDC فرستاده می شد، به انتشار بیش از پیش این باج افزار پرداختند. این ایمیل با عنوان “هشدار همه گیری آنفولانزا” ارسال می شد و در صورت دانلود فایل word موجود در پیوست، اطلاعات قربانی رمزنگاری می شدند.
با کمک سیستم همکاری، روش های متنوع حمله و ارتقا تکنولوژی باج افزار، GandCrab به سرعت به رایج ترین باج افزار سازمانی و خانگی در سال 2018 تبدیل شد.
البته باج افزار GandCrab به اندازه ای که سازندگان آن ادعا می کنند موفق نبوده است. واقعاً نمی دانیم که سازندگان آن چه مقدار درآمد کسب کردند، اما ادعای 2 میلیارد دلاری آن ها احتمالا تو خالی است، چرا که ابزار رمزگشای رایگان این باج افزار برای بیشتر نسخه های آن توسعه داده شده است.
حفاظت از سیستم در برابر باج افزار GandCrab
اگرچه باج افزار GandCrab در حال افول است، اما هنوز باج افزارهای مشابه مانند Sodinokibi و سایر گونه های باج افزاری تهدیدات بسیار جدی هستند.
چگونگی حفاظت از سیستم در برابر باج افزار GandCrab:
- بکاپ گیری از فایل ها:
با بکاپ گیری منظم از اطلاعات، در صورت آلوده شدن به باج افزار، می توانید به سادگی سیستم عامل خود را مجددا راه اندازی کرده و اطلاعات خود را بازیابی کنید.
- بررسی فایل های پیوست در ایمیل:
اگر ایمیل مشکوکی از سمت دوستان، اعضای خانواده و یا شرکت های معتبر دریافت کردید، به شدت مراقب پیوست ها باشید و با در صورت امکان اعتبار ایمیل را یک مرتبه با فرستنده چک کنید.
- بروزرسانی پیوسته:
بروزرسانی پیوسته سیستم باعث می شود آسیب پذیری هایی که مورد سو استفاده اکسپلویت ها قرار می گیرند، به شدت کاهش یابد. همانطور که اشاره شد، اکسپلویت ها یکی از متدهای اصلی باج افزار GandCrab جهت آلوده سازی شبکه ها هستند. همچنین اگر نرم افزار قدیمی بلا استفاده ای در کامپیوتر خود دارید، حتما آن را حذف کنید.
- محدود سازی سرویس ریموت دسکتاپ:
بهترین راه برای محافظت در برابر حملات ریموت دسکتاپ (RDP)، محدود کردن سطح دسترسی ریموت دسکتاپ است. از خود بپرسید آیا واقعاً این سیستم به ریموت دسکتاپ نیاز دارد؟ اگر پاسخ مثبت است، حداقل سطح دسترسی کاربرانی که واقعاً به آن نیاز ندارند را محدود کنید. اما گزینه بهتر و ایمن تر برای اتصال از راه دور به یک شبکه، استفاده از سرویس VPN است.
- استفاده از پسوردهای استاندارد:
حتماً از پسوردهای قدرتمند و احراز هویت چند مرحله ای (MFA) استفاده کنید. درست است که به خاطر سپردن پسوردهای منحصر به فرد برای همه سایت ها و حساب های کاربری که استفاده می کنید دشوار و غیرممکن است، اما خوشبختانه نرم افزارهای مدیریت پسورد این کار را به راحتی برای شما انجام می دهند.
- استفاده از آنتی ویروس:
آنتی ویروس های معتبر از سیستم شما در برابر انواع تروجان ها، ویروس ها، لینک های مخرب و وب سایت های آلوده محافظت می کنند و باج افزارهایی مانند GandCrab و سایر بدافزارها هرگز نمی توانند سیستم شما را آلوده کنند.
Source: https://medium.com/hackernoon/gandcrab-the-most-prevalent-ransomware-in-2019-933a722bb42d
رمزگشایی باج افزار GandCrab و بازیابی اطلاعات
جهت حذف باج افزار و بازیابی اطلاعات مراحل زیر را دنبال کنید:
- پاکسازی سیستم: باج افزارها معمولا پس از رمزنگاری اطلاعات بصورت خودکار حذف می شوند و ردپایی از خود باقی نمی گذارند. با اینحال توصیه می شود پس از آلوده شدن به باج افزار، یک مرتبه سیستم خود را با استفاده از کیت اضطراری امسی سافت اسکن نمایید تا در صورت وجود هرگونه بدافزار بر روی سیستم، آن ها را شناسایی و حذف نمایید.
- تشخیص نسخه باج افزار: با بررسی پسوند فایل های رمزنگاری شده، می توانید نسخه GandCrab خود را پیدا کنید:
- پسوند gdcb متعلق به نسخه اول GandCrab است.
- پسوند crab متعلق به نسخه 2 و 3 GandCrab است.
- پسوند krab متعلق به نسخه 4 GandCrab است.
- نسخه 5 GandCrab شامل یک پسوند 5 کاراکتری تصادفی است.
- دانلود ابزار رمزگشا: همانطور که قبلاً هم اشاره کردیم، ابزار رمزگشای رایگان برای نسخه های 1، 4، 5.01 و 5.2 باج افزار GandCrab وجود دارد. اگر با یکی از این نسخه ها آلوده شده اید، شانس با شماست. می توانید فایل های خود را بدون پرداخت باج بازگردانی کنید. اما متأسفانه، هیچ ابزار رمزگشایی برای باج افزار GandCrab نسخه 2 و نسخه 3 در دسترس نیست.
روز خوب و بدون باج افزاری داشته باشید!
برگرفته از:
بدون نظر