В конце феврале 2018 года стало известно о появлении нового вируса-вымогателя — GandCrab. Его главное отличие от предшественников заключается в возможности кастомизировать требование о выкупе на основе профиля жертвы и типа зашифрованных данных.  Таким образом, плата за расшифровку данных может составлять от $600 до $700 000.

DASH

Оплату принимают в двух криптовалютах: DASH и Bitcoin. DASH — это разветвлённый протокол Bitcoin, который не только ускоряет транзакции, но и делает их отслеживание практически невозможным. Перемещение виртуальной валюты становится полностью анонимным.

Раскладка клавиатуры

Интересный факт. Выполняя разведку в системе, GandGrab определяет раскладку клавиатуры. Если она русская, процесс шифрования останавливается. Т.е. русскоязычных жертв среди пострадавших практически нет.

100% шифрование

Кроме того, GandCrab проверяет, не запущены ли в системе приложения, которые могут заблокировать доступ к файлам: почтовые клиенты, веб-браузеры, редакторы и даже игровые движки. Это гарантирует, что будут зашифрованы все данные, хранящиеся в системе.

По состоянию на ноябрь 2018 года известно о пяти версиях GandCrab. Компания Bitdefender совместно с правоохранительными органами Румынии, Европолом и ФБР создала бесплатный инструмент дешифровки для систем, которые заражены версиями 1, 4, 5.

Подробная инструкция, как пользоваться дешифратором, находится здесь. Самое главное — не запускать прочие инструменты очистки и не удалять требование о выкупе.

С 25 октября (дня релиза новой версии дешифратора) было предовтращено 1700 случаев вымогательств на общую сумму в $1 миллион.

Если же ваша система была атакована 2-ой или 3-ей версией, Bitdefender рекомендует не идти на поводу у вымогателей и дождаться следующего релиза дешифратора.

Как происходит заражение?

Самый распространённый вариант — вложение в электронной почте. Жертва скачивает ZIP-архив, который содержит скрипт (JavaScript, PowerShell etc). Второй путь — эксплойт-паки RIG и GrandSoft.

Рзаработчики GandCrab уже объединились с операторами ботнетов, которые получают процент от выкупка каждой жертвы. Известны случаи заражения в организациях, когда злоумышленники взламывали пароль от домена или машины с RDP-протоколом и вручную запускали вирус. Перед этим они исследовали сеть, оценивали данные и  подсчитывали стоимость выкупа.