05/03/2019

Szkodliwy program GandCrab wymuszający okup za oglądanie pornografii powraca

Zagrożenia

„Przechwyciliśmy Twoją kamerę internetową i zarejestrowaliśmy moment, gdy oglądasz pornografię. I zaszyfrowaliśmy Twoje dane. A teraz chcemy okupu”. Pamiętacie podobny schemat szantażu, który odniósł fenomenalny sukces w zeszłym roku? Wygląda na to, że plotki o wymarciu ransomware, które było odpowiedzialne za to oszustwo, są nieco przesadzone.

Ransomware GandCrab powróciło i jest bardzo aktywne. Jego twórcy nieustannie przygotowują nowe wersje, aby nie utracić ciężko wypracowanego udziału, jaki obecnie posiada — około 40% całego rynku ransomware. Atakujący, którzy wynajmują i rozprzestrzeniają GandCraba, infekują ofiary na różne sposoby: czasami kreatywnie, a czasami nawet romantycznie.

Ransomware dla sentymentalnych

Deklaracja miłości w tytule wiadomości może zachwycać, jednak stwierdzenia typu „Mój list miłosny do Ciebie”, „Zakochałem się w Tobie” czy „Napisałem o Tobie kilka zdań” w rzeczywistości mogą zwiastować katastrofę. A w okolicach Walentynek, świąt Bożego Narodzenia, Nowego Roku czy urodzin, a może i w zwykły ponury poniedziałek w pracy, taka wiadomość może nie wzbudzić podejrzeń. Jednak podobnie jak każda wiadomość e-mail, i one warte są chwili zastanowienia.

Obecnie najpopularniejszy wariant szkodliwych wiadomości e-mail zawiera w temacie romantyczne zdanie, w treści symbol serca i załącznik — plik ZIP zwykle o nazwie Love_You z kilkoma cyframi. Po rozpakowaniu archiwum i wykonaniu znajdującego się w środku skryptu JavaScript rozpoczyna się pobieranie ransomware o nazwie GandCrab.

Następnie użytkownik widzi informację, w której wyjaśnione jest, że wszystkie dane na jego komputerze zostały zaszyfrowane, a za ich odzyskanie należy zapłacić okup (najlepiej w bitcoinach). W przypadku problemów z kryptowalutą gang będący autorem ataku uprzejmie udostępnia okno z czatem na żywo w celu poinstruowania użytkownika, jak zakupić wymaganą kryptowalutę i zapłacić okup.

Ransomware dla firm

W 2017 roku udostępniono łatę, która eliminowała lukę w narzędziu służącym do synchronizacji danych między dwoma systemami zarządzania dla firm z branży IT. Jednak nie każda ją zainstalowała. W 2019 roku GandCrab atakuje te firmy, które nie zainstalowali łaty, i szyfruje wszystkie komputery, jakie tylko zdoła.

Luka w bezpieczeństwie umożliwia atakującym utworzenie nowych kont administratora, z których następnie wysyłane są polecenia zainstalowania ransomware na zarządzanych punktach końcowych. Innymi słowy następuje szyfrowanie maszyn, na których wyświetlane jest żądanie zapłaty (zawsze w kryptowalucie).

Ransomware dla odpowiedzialnych (czyli dla każdego z nas)

Ilu z nas otworzyłoby załącznik do wiadomości e-mail, gdyby informowała ona, że pojawiła się zaktualizowana mapa ewakuacyjna dla budynku, w którym pracujemy? Najprawdopodobniej wszyscy z nas. I nie miałoby znaczenia, że pochodzi z całkowicie obcego nam adresu. W końcu kto pamięta, jak nazywają się osoby odpowiedzialne za zapewnienie bezpieczeństwa?

Atakujący zaczęli wykorzystywać tę możliwość, wysyłając szkodliwe e-maile z załączonym plikiem Word. Ci, którzy otworzą dokument, zobaczą tylko tytuł — „Mapa wyjścia ewakuacyjnego” — i przycisk Włącz zawartość. Po kliknięciu przycisku instalowane jest ransomware GandCrab.

Ransomware dla płatników

Inna taktyka wykorzystuje wiadomość e-mail, która wygląda jak faktura lub potwierdzenie płatności — do pobrania z WeTransfer. Łącze prowadzi do chronionego hasłem archiwum ZIP lub RAR. Zgadnijcie, co kryje się w pliku.

Ransomware dla Włochów

Inny wariant używa „powiadomienia o płatności”— załącznika w postaci pliku Excel. Po próbie otwarcia go wyświetla się plik z informacją, że nie można wyświetlić go w internecie i najlepiej jest kliknąć opcję Włącz edycję i Włącz zawartość.

Co ciekawe, ten konkretny atak jest wymierzony wyłącznie w mieszkańców Włoch (przynajmniej  na tę chwilę). Klikając przycisk, użytkownik uruchamia skrypt, który w oparciu o język systemu operacyjnego sprawdza, czy dany komputer znajduje się we Włoszech.

Jeśli nie, nie dzieje się nic szczególnego. Ale jeśli tak, można doświadczyć poczucia humoru atakującego w postaci obrazka znanej postaci z gry Super Mario Bros.

Obrazek Mario zawiera szkodliwy kod, który pobiera szkodliwe oprogramowanie

Gdy użytkownik kliknie opcję wyświetlenia zawartości pliku, zostaje pobrany obrazek zawierający szkodliwy kod PowerShell, który z kolei zaczyna pobierać szkodliwe oprogramowanie. Na tę chwilę badacze nie są zgodni co do tego, które: GandCrab, które szyfruje dane, czy Ursnif, które kradnie dane logowania do bankowości i kont internetowych. Mówiąc szczerze, to niewielka różnica; chodzi tu o metodę dostarczenia, chociaż i one nieustannie ewoluują.

Powiedz „Nie” chciwemu krabowi

GandCrab jest dystrybuowany przez wiele różnych osób — to przygotowana przez zespół atakujących usługa ransomware-as-a-service, która jest wynajmowana innym oszustom. Aby zapewnić sobie ochronę przed chciwym krabem GandCrab i nie tylko, należy stosować najlepsze praktyki zabezpieczające. Oto one:

  • Gdy otrzymasz wiadomość e-mail, której się nie spodziewałeś, upewnij się, że wiadomość jest oryginalna, zanim otworzysz załącznik. Na przykład zadzwoń do nadawcy.
  • Zawsze miej niezawodną i sprawdzoną kopię zapasową wszystkich swoich kluczowych danych, tak aby można było je przywrócić w przypadku kryzysu.
  • Używaj dobrego pakietu zabezpieczającego, aby mieć pewność że żadne ransomware nie zainfekuje Twojego komputera.

Najlepiej jest nie spotkać GandCraba osobiście. Ale jeśli już Twój komputer zostanie przez niego zaszyfrowany, możesz zminimalizować szkody:

  • Być może będzie można za darmo odzyskać Twoje pliki — poszukaj odpowiedniego  narzędzia deszyfrującego na stronie projektu No More Ransom. Niektóre (niestety nie wszystkie) wersje ransomware GandCraba posiadają błędy, które to umożliwiają.
  • Zanim pobierzesz i uruchomisz narzędzie deszyfrujące, użyj niezawodnego rozwiązania antywirusowego w celu usunięcia ransomware z urządzenia. W przeciwnym razie szkodliwy program ponownie zablokuje Twój system lub zaszyfruje pliki.