网站地图  /  加入收藏  /  联系我们  /  业务合作  /  诚聘英才
 
站内搜索:     
首页 数据恢复 数据备份 成功案例 客服中心 资讯中心 关于碟科
 
·业界动态
·最新公告
·技术文章
 
电话:0512-81660623
热线:0512-65095791
资讯中心
GandCrab:2018年最流行的勒索软件介绍附解密工具
苏州数据恢复   2018-11-23 02:19:25 作者:碟科 来源: 文字大小:[][][]

勒索软件已存在多年,并造成数十亿美元的财务损失。作为最有利可图的恶意软件类型之一,从财务角度来看,勒索软件开发人员投入了大量时间,精力和知识来完善其交付机制和功能。

传统的勒索软件家族,如CryptoWall和CryptoLocker,主要关注普通用户,过去要求的支付金额从200美元到500美元不等,但勒索软件开发人员认为,如果他们针对的组织和公司有更多有价值的数据,他们可以大大增加利润。如数据库和知识产权。

在2018年1月下旬,GandCrab可能源于需要通过根据受害者的个人资料和加密数据的类型自定义赎金票据,从组织中进一步货币化加密数据。因此,每个受害者的GandCrab赎金需求可能在600美元到700,000美元之间。这种行为的改变可能导致网络犯罪分子的收入大幅度增长,特别是因为他们开始将其作为一种服务提供。

 

GandCrab:2018年最受欢迎的勒索软件

GandCrab勒索软件系列于2018年2月下旬出现,很快被网络犯罪分子采用,因为它提供了之前没有其他勒索软件家族提供的东西:定制赎金票据。虽然普通用户不愿花费多达500美元来获取数据,但管理客户数据库或在其服务器上拥有知识产权的组织和公司对支付更多资金更感兴趣。

目前,GandCrab的最多产版本是版本4和5,自2018年7月以来估计已经感染了全世界大约500,000名受害者。考虑到最低的赎金票据是600美元,几乎一半的受感染受害者屈服于勒索软件,开发人员可能仅在过去的几个月中至少赚了3亿美元。考虑到一些受害者报告了70万美元的赎金票据,实际的经济损失可能会大大增加。

对于传统的勒索软件,受害者 - 无论是医院还是公司 - 都必须联系勒索软件开发人员,如果他们感染了大量端点,则需要支付较小的费用。这个过程通常需要时间。

GandCrab带来的改进通过根据加密文件的类型调整每个受害者的赎金记录,使整个过程更加无缝。例如,如果受感染的服务器拥有一个大型数据库,那么赎金票据的价格可能会达到数千美元,但如果服务器持有的信息较少,那么赎金票据可能会低至600美元。

GandCrab的另一个有趣的方面是采用DASH和比特币支付。DASH基本上是一个分叉的比特币协议,可以实现无法追踪的更快的事务。这使得移动虚拟货币更安全,更完全匿名。

有趣的是,勒索软件最有趣的功能之一是,在对受害者的系统进行侦察时,在实际开始加密文件之前,它将识别键盘布局是否是俄语并将中止整个过程,有效地选择不感染讲俄语的受害者。

此外,在实际开始加密过程之前,它将检查是否存在具有GandCrab可能想要加密的特定文件类型的锁定句柄的进程。基本上,它会在实际启动加密过程之前关闭所有文档查看器和编辑器,电子邮件客户端,Web浏览器,数据库应用程序甚至游戏引擎。此过程可确保不会丢失任何文件,并且每个重要文件都已加密。

虽然Bitdefender成功地为感染了第一版勒索软件的GandCrab受害者(GandCrab V1)提供了一个免费的解密工具来恢复丢失的数据,但勒索软件开发人员很快就推出了修复Bitdefender安全研究人员利用的加密漏洞的新版本。恢复文件。

由于最多产的GandCrab勒索软件版本是v4和v5,Bitdefender一直积极致力于与执法机构合作,包括罗马尼亚警方,调查有组织犯罪和恐怖主义局(DIICOT)和欧洲刑警组织,联邦调查局等。创建一个可以帮助受害者恢复数据的解密工具。在新的Bitdefender GandCrab勒索恢复工具可以成功解密感染V4一路GandCrab的V5.0.4文件。

在免费的Bitdefender GandCrab Ransomware恢复工具发布后,在几小时内注册了1,700多个成功的解密,基本上使受害者免于支付超过100万美元的累积金额。

已经成为GandCrab版本1,4和5受害者并且设法保存受影响系统图像的受害者现在可以立即下载免费的Bitdefender GandCrab Ransomware恢复工具并开始恢复他们的数据。此外,为解密过程提供原始赎金票据至关重要。

 

Bitdefender发布免费的GandCrab解密工具

Bitdefender发布了最新版GandCrab的解密工具,GandCrab是世界上最多产的勒索软件。该工具由Bitdefender,Europol和罗马尼亚警方合作开发,在FBI和其他执法机构的支持下,该工具可以让世界各地的受害者无需支付黑客即可检索加密信息。根据我们工具注册的解密数量,可能节省了价值数千万美元的赎金。

在过去5天内,该工具已成功解密属于1,700多个唯一身份用户的数据。

 

 

流行的GandCrab感染矢量

用于传播GandCrab的一些最流行的感染媒介围绕带有附件的电子邮件。虽然最流行的附件通常是.ZIP存档,通常包含脚本(例如JavaScript,PowerShell等),但网络犯罪分子也一直在使用流行的基于Web的漏洞利用工具包。RIG和GrandSoft通常是用于向受害者提供GandCrab的最流行的漏洞利用工具包,通常滥用未修补的Flash或Adobe Reader漏洞。

有趣的是,勒索软件开发人员还与僵尸网络运营商合作,要么开始在受感染的系统上植入勒索软件,要么使用僵尸网络传播带有受感染附件的电子邮件。使用共享收入模型,僵尸网络运营商可以从每个受害者支付的赎金中获得一定比例,因为他们为服务提供了便利。僵尸网络和勒索软件的这种新的货币化过程并不新鲜,但它确实表明网络犯罪团体可以联合起来获取经济利益。

在组织内部也确认了GandCrab感染案例,其中威胁参与者设法强制域密码或在组织内服务远程桌面协议(RDP)的机器,并在特定机器上手动执行勒索软件。这实际上允许威胁参与者首先在机器上执行侦察以确定所存储的信息和数据的价值,然后根据信息的重要程度和公司的简档来定制赎金票据。

 

勒索软件作为一种服务

虽然勒索软件本身可以为网络犯罪分子带来可观的收入,但勒索软件开发商开始按需提供勒索软件包,无论是对出价最高者还是对任何感兴趣的人。勒索软件即服务使任何人,即使是那些没有技术知识的人,也可以使用勒索软件并根据自己的规范对其进行自定义。从赎金票据所用的语言到每个受害者所要求的金额,一切都可以由非技术精明的用户使用攻击者提供的简单的基于Web的界面轻松定制。

传统上,勒索软件开发人员在请求定制勒索软件包时会要求预付款。现在,他们已经采用了共享收入模式,使他们能够获得每个受害者支付的赎金票据的30%。这种新的基于联盟的商业模式使购买“客户”的初始成本降低,同时刺激了采用。

除了可以访问高度用户友好的界面,允许自定义勒索软件传播和“功能”,勒索软件开发人员还提供24小时支持,呼叫中心帮助,文档,甚至教程如何配置,部署和使用勒索软件以及管理控制台托管在命令和控制(C&C)服务器上。

有时,只需很小的价格,他们甚至可以租用僵尸网络,这有助于传播带有受感染附件的电子邮件。这些聚合服务通常是相同的勒索软件即服务产品的一部分,使联盟会员只需点击几下即可启动全球勒索软件活动 - 无技术技能 - 并立即分发。

 

转向清除勒索软件,包括GandCrab

为了避免勒索软件,强烈建议用户使用最新的安全补丁更新所有软件,包括操作系统,执行定期备份或关键数据,并确保他们使用可以抵御勒索软件的安全解决方案。

同样重要的是不要屈服于勒索软件,因为支付赎金票据只能继续推动网络犯罪活动,并且无法保证网络犯罪分子实际上会给你解密密钥。基本上,你会相信一个网络犯罪分子来保持他的讨价还价。

如果您受到感染,请执行受影响系统的映像,并将事件视为硬件故障或从先前备份恢复数据。拥有加密文件的图像可以证明是有益的,特别是因为安全研究人员不断更新勒索软件解密工具,如免费的Bitdefender GandCrab Ransomware Recovery Tool,以帮助恢复任何丢失的文件。

如果你被版本2或3的勒索软件感染了,我们恳请你坚持下去,不要支付赎金!我们仍在调查帮助恢复数据的方法,一旦有了更新,我们会再次提供更新。

 
 
Copyright © 2005-2010 Suzhou Dieke Date Recovery Center. All rights reserved
苏州数据恢复中心 地址:苏州市劳动路28号(三香路阊胥路交叉路口)华亭大厦15层1503室
电话:0512 - 65095791(24小时),0512-81660623 技术支持:苏州天络科技 苏ICP备07505790号