Công cụ giải mã Ransomware GandCrab mới được phát hành

Công cụ giải mã Ransomware GandCrab mới được phát hành

February 22, 2019 | vietsunshine

Trò chơi mèo vờn chuột giữa BitDefender và nhà phát triển ransomware GandCrab vẫn tiếp tục.

Vào thứ ba (19 tháng 2) BitDefender đã phát hành một phiên bản mới của bộ giải mã GandCrab có thể giải mã các phiên bản của GandCrab 1, 4 và 5 cho đến phiên bản 5.1 mới nhất. Bộ giải mã có sẵn từ BitDefender và từ dự án NoMoreRansom.

Trong một thông báo liên quan, giám đốc nghiên cứu và báo cáo mối đe dọa, Bogdan Botezatu, nhận xét: “Mặc dù đây là lần thứ ba chúng tôi đánh bại mã hóa GandCrab trong năm qua, lễ kỷ niệm của chúng tôi sẽ diễn ra trong thời gian ngắn. Chúng tôi sẽ trở lại làm việc vào ngày mai, vì các nhà khai thác GandCrab chắc chắn sẽ thay đổi chiến thuật và kỹ thuật.”

GandCrab là ransomware thành công nhất và giữ vị thế thống trị trong năm 2018. Nó đã lây nhiễm hơn 500.000 nạn nhân kể từ khi nó xuất hiện lần đầu tiên vào tháng 1 năm 2018 và tuần trước, nhà phân tích tình báo mối đe dọa của Recorded Future là Allan Liska đã nói rằng anh ta sẽ không ngạc nhiên nếu nó thu được 100 triệu đô la tiền chuộc.

Có 2 lý do dẫn đến sự thành công của GandCrab. Thứ nhất, nó được cung cấp cho bất kỳ tội phạm nào theo chương trình chia sẻ lợi nhuận 60/40. Nếu Liska đúng, điều đó có nghĩ là các nhà phát triển GandCrab đã ‘kiếm được’ 60 triệu đô la trong năm 2018. Thứ hai, họ có một nhóm phát triển (hoặc nhà phát triển) rất nhạy và chuyên nghiệp. Khi BitDefender phát hành bộ giải mã trước đó (cho các phiên bản 1, 4 và 5.0), một phiên bản mới với chế độ mã hóa mới xuất hiện trong vòng 12 giờ. Trên thực tế, chúng ta có thể sẽ thấy một phiên bản mới của GandCrab rất sớm.

Sẽ có nạn nhân mới; nhưng trong thời gian đó, các nạn nhân hiện tại sẽ có thể phục hồi các tệp của họ miễn phí.

Dự án NoMoreRansom đã được đưa ra vào tháng 7 năm 2016 như một sáng kiến chung của Cảnh sát Quốc gia Hà Lan, Europol, McAfee (khi đó là một phần của Intel Security) và Kaspersky Lab. Kể từ đó, nó đã thu hút hàng chục đối tác và các đối tác thực thi pháp luật và công cộng và tư nhân, và hiện đã tạo ra gần 100 bộ giải mã cho các khoản tiền chuộc khác nhau. Europol tuyên bố rằng chỉ riêng bộ giải mã BitDefender GandCrab đã được tải xuống 400.000, giúp “gần 10.000 nạn nhân lấy lại các tập tin được mã hóa của họ, tiết kiệm cho họ khoản thanh toán ransomware 5 triệu USD”.

Trong suốt năm 2018, GandCrab ở vị thế thống trị. Hầu hết các ransomware ‘thành công’ khác đã chuyển sang các mục tiêu của công ty (được minh họa bằng cuộc tấn công của Thành phố Atlanta SamSam) và phần lớn được khai thác thông qua RDP. Vì GandCrab là ‘ransomware cho thuê’, nên luôn luôn là vấn đề thời gian trước khi nó bắt đầu nhắm mục tiêu vào các công ty thay vì chỉ là người tiêu dùng.

“Gần đây, các nhà khai thác GandCrab cũng đã bắt đầu phân phối ransomware cho các công ty thông qua các lỗ hổng trong phần mềm hỗ trợ CNTT từ xa được sử dụng bởi các nhà cung cấp dịch vụ quản lý để quản lý các máy trạm của khách hàng”, Botezatu lưu ý. GandCrab đã bắt đầu “tấn công các tổ chức thông qua các phiên bản Remote Desktop Protocol bị lộ hoặc bằng cách đăng nhập trực tiếp bằng thông tin xác thực tên miền bị đánh cắp. Sau khi xác thực trên PC bị xâm nhập, kẻ tấn công tự chạy phần mềm ransomware và hướng dẫn nó phát tán trên toàn bộ mạng. Khi mạng bị nhiễm, những kẻ tấn công xóa sạch dấu vết của chúng và liên hệ với nạn nhân bằng lời đề nghị giải mã. “

Liệu GandCrab có thành công trong việc nhắm tới mục tiêu là công ty vào năm 2019 hay không khi trong năm 2018 vừa qua, nó chỉ hướng tới người tiêu dùng. Điều chúng ta có thể chắc chắn là bất cứ khi nào một phiên bản mới được phát hành, BitDefender sẽ tìm cách đánh bại mã hóa của nó; và bất cứ khi nào có, các nhà phát triển GandCrab sẽ nhanh chóng phát hành một phiên bản mới.

(Nguồn: Security Week)

Xem thêm: SamSam và GandCrab minh họa cho sự phát triển của Ransomware

Tags: , , , ,