» »

Najpopularnejši izsiljevalski virus GandCrab zlomljen

Najpopularnejši izsiljevalski virus GandCrab zlomljen

Europol - Romunska policija, Europol in podjetje za računalniško varnost Bitdefender so pripravili orodje za odklep datotek, ki jih zašifrirajo različne verzije izsiljevalskega virusa GandCrab. Komplet se imenuje Pay No More in deluje za vse razen dveh verzij GandCraba - odklepa torej datoteke verzij 1, 4 in 5.

GandCrab se je začel agresivno širiti v začetku tega leta in je do danes prizadel več kot pol milijona računalnikov. Trenutno je najbolj razširjen izsiljevalski virus. Po okužbi GandCrab zašifrira datoteke na računalniku in za izdajo ključa zahteva od 300 do 6000 dolarjev odkupnine, ki jo je treba plačati v kriptovalutah. Ko so februarja romunski organi pregona in Bitdefener razbili prvo verzijo programa, so zlikovci kmalu izdali novo verzijo. Do danes je izšlo skupaj pet verzij, od teh so odklenjene tri.

GandCrab uporablja različne šifrirane ključe v odvisnosti od geografske lokacije žrtev. Pred dnevi so avtorji virusa razkrili ključe za uporabnike v Siriji, iz česar so v Bitdefenderju hitro izdelali orodje za dešifriranje datotek. Sedaj pa so zlomili celoten algoritem, zato lahko svoje podatke odklene kdorkoli kjerkoli. Orodje za reševanje datotek GandCraba 2 in 3 je še vedno v delu.

K hitremu širjenju in popularnosti je pripomogel nov model RaaS (ransomware-as-a-service), ki omogoča najem izsiljevalskih virusov. Razvijalec si odreže 30 odstotkov zbranih odkupnin, preostanek gre naročniku. Razvijalci tudi redno vzdržujejo programsko opremo, saj se nova verzija običajno pojavi vsak teden. GandCrab ne napada le novih sistemov (Windows 10 in 7), temveč celo XP.

14 komentarjev

tikitoki ::

Ransom as service. Damn:)

HerrBaron ::

Edini Virus ki me je napadel od MS dos casov. Ujel sem ga ko je zacel kriptirati C:\ in od takrat uporabljam Linux na moji domaci masini.
Sumim da se je siril preko RDP na ne-standardnem portu.

MIHAc27 ::

Superca, programček sem takoj sprobal na nekih dokumentih od stranke. Za V4 je odklenil običajne dokumente (doc, pdf, xls) le enega testnega pln ni, ampak sem imel samo 1 primerek, lahko da je z datoteko kaj drugega še narobe.

So pa teli ransomware virusi prav svinjski... ljudi z dobrim backupom pa kot kaže še vedno malo.

MIHAc27 ::

Evo update, ravno izvedel... Čez vikend je še ena stranka pokasirala Crab v5.0.4 verzijo. Je že poravljena verzija in proram za dešifriranje ne deluje. Tudi končnica je druga.

c3p0 ::

Te stranke torej ne verjamejo v backup?

SeMiNeSanja ::

MIHAc27 je izjavil:

So pa teli ransomware virusi prav svinjski... ljudi z dobrim backupom pa kot kaže še vedno malo.

Backup je zgolj izhod v skrajni sili. Nenazadnje se ne restavrira sam od sebe, ne naloži se v 5 minutah, ne...........

Skratka, fail se je zgodil že pri škrtarjenju s spodobno zaščito pred tako in drugačno nesnago z interneta. Tisto zaščito, zaradi katere potem ne rabiš restavrirat backup-ov in nimaš izpadov poslovanja od nekaj ur, pa do nekaj dni.

MrStein ::

Glej tudi tole "debato" o zaščiti in backupu:

BivšiUser2 je izjavil:

Ne rabiš nekih AV,...

(klik na "izjavil" jo pokaže v celoti)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

c3p0 ::

SeMiNeSanja je izjavil:


Skratka, fail se je zgodil že pri škrtarjenju s spodobno zaščito pred tako in drugačno nesnago z interneta. Tisto zaščito, zaradi katere potem ne rabiš restavrirat backup-ov in nimaš izpadov poslovanja od nekaj ur, pa do nekaj dni.


Marsikdo/večina bo žal raje počakal par ur, kot pa dal 5k€ za appliance + verjetno letne licence. No, bolje rečeno, večina nima nič od teh dveh opcij in potem javka.

SeMiNeSanja ::

c3p0 je izjavil:

SeMiNeSanja je izjavil:


Skratka, fail se je zgodil že pri škrtarjenju s spodobno zaščito pred tako in drugačno nesnago z interneta. Tisto zaščito, zaradi katere potem ne rabiš restavrirat backup-ov in nimaš izpadov poslovanja od nekaj ur, pa do nekaj dni.


Marsikdo/večina bo žal raje počakal par ur, kot pa dal 5k€ za appliance + verjetno letne licence. No, bolje rečeno, večina nima nič od teh dveh opcij in potem javka.

Par ur? Morda, če se gre le za en računalnik.

Kaj pa takrat, ko se ti ransomware razširi po omrežju in okuži vse računalnike?
Po možnosti še tistega od serviserja, ki ga pokličeš, da naj pride reševat zadevo.

No, pri 150 okuženih računalnikih je 5k€ za zaščito mačji kašelj. Pri 20-ih, pa so cifre bistveno nižje od 5k - seveda odvisno od tega, o kakšni zaščiti govorimo.

A tudi vsak posel ni enak drugemu.... Kolikšna je že bila izguba Revoza, ko so se okužili? Cela vrsta dejavnosti obstaja, kjer je vsaka ura izpada živa katastrofa. Seveda pa imaš tudi dejavnosti, kjer niti enotedenski izpad ne bo povzročil nobene posebne panike.

Vendar na koncu še vedno razmišljamo v smislu, da se bo okužil le en računalnik, ki nam ga seveda serviser z nekaj sreče povrne v nekaj urah. Žal pa smo že videli in še jih bomo videvali - variante, ki zaklenejo vse računalnike na mreži. takrat ti pa tudi ob najbolj popolnih backup-ih ni do smeha.

c3p0 ::

Ne govorim za rang Revoza, ampak za tipično SLO firmo s 5-20 PC-ji, nekako ne vidim te investicije.

Vuli ::

če sem prav prebral ima bitdefender rešitev tudi za 5ko.
|Gb x570 Pro|R9 5900x|64GB DDR4 RAM G.Skill V@ 3600 cl16|6800XT Merc319 Black|

SeMiNeSanja ::

c3p0 je izjavil:

Ne govorim za rang Revoza, ampak za tipično SLO firmo s 5-20 PC-ji, nekako ne vidim te investicije.

Odvisno s čem se firma ukvarja.

Če ima na svojih računalnikih osebne podatke, je v primeru okužbe že v težavi zaradi GDPR in bi morala poročati o incidentu.... (kdo pa nima nobenega osebnega podatka na računalniku?)

Če je 'firma' ena navadna zdravniška ordinacija z dvema zaposlenima... ok... en dopoldan bodo zaprti, tista dva računalnika reinštalirali in povrnili backup. AMPAK... kot stranka.... si RES želiš biti pacient pri 'firmi', ki ne poskrbi za varnost, da se ji lahko kaj takega zgodi?

Kaj pa odvetnik? Res želiš imeti tako malomarnega odvetnika?

Ne gre se le za kriptolockerje - ti isti računalniki so ravno tako ranljivi za odtekanje podatkov. Odtekanje, ki lahko traja mesece in mesece, pa ga ne bo nihče opazil - saj nimajo s čem.

Torej... kaj ti reši backup, če ti kradejo podatke? Bore malo, se mi zdi.....?

Maximus ::

@SeMiNeSanja o tem smo debatirali v drugih temah.
Manjša podjetja so omejena z znanjem (proces) in tehnologijo, ki jo lahko uporabijo, saj nimajo dovolj denarnih sredstev. Marsikdo od njih tudi pomisli, kdo sem jaz da bi bil tarča napada in se naredi nič ali zelo malo za tisto osnovno zaščito.

Smiselna rešitev za take uporabnike bi bila, neke vrste security as a service, kjer bi se povezali na multitenant omrežje in bi lahko z ustreznimi rešitvami ščitili uporabnike na edge-u kakor tudi potem znotraj omrežja. Za to bi plačevali nek fee.
Seveda, ob tem uporabniki ne bi imeli več lokalnega dostopa do interneta ampak čez neko centralno točko oz. več njih....

SeMiNeSanja ::

Maximus je izjavil:

Smiselna rešitev za take uporabnike bi bila, neke vrste security as a service, kjer bi se povezali na multitenant omrežje in bi lahko z ustreznimi rešitvami ščitili uporabnike na edge-u kakor tudi potem znotraj omrežja. Za to bi plačevali nek fee.
Seveda, ob tem uporabniki ne bi imeli več lokalnega dostopa do interneta ampak čez neko centralno točko oz. več njih....

Niti ne....vsaj ne nujno.

Marsikateri 'resni' ponudnik varnostnih rešitev ponuja nekakšne Managed Security Service Provider programe oz. partnerstva.
Ko se kot ponudnik storitev kvalificiraš (npr. narediš kakšen predpisan izpit), ti dajo na voljo orodja za centralno administracijo svojih strank, možnost imaš kupovati po posebnih pogojih za ponudnike servisnih storitev, katere ti omogočajo dajanje opreme v najem, itd.

Bistvo je to, da se za končnega uporabnika nič kaj dosti ne spremeni, saj vse za njih prevzame ta ponudnik storitev, ki jim v celoti upravlja zadevo, kateri sami niso dorasli in jim tedensko ali mesečno posreduje kakšno poročilo - skupaj z računčkom za svojo storitev.

V bistvu marsikateri serviser to že danes počne - stranki upravlja router oz. firewall, ker stranka tega ne obvlada. Vendar večina teh serviserjev ni specializiranih na področje varnosti, mnogi niti ne poznajo splošna načela dobrih praks na tem področju.
Ti MSSP programi pa so namenjeni točno temu, da se v to dejavnost vnese nekaj profesionalizma, malo več izobraževanja, da bi lahko svojim strankam nudil bolj kakovostne in bolj napredne storitve z področja varovanja omrežja.

Drugače najdeš tudi tzv. "Hosted Security Services", kjer imaš dejansko na strani nekega ponudnika vzpostavljeno ustrezno multi-tenant infrastrukturo. Ta zadeva ima eno veliko lepotno napako: takoj, ko nimaš več povsem 'flat' omrežja, zadeva postane cokla.

Npr. postaviš WiFi Accesspoint, gor npr. spelješ 3 VLAN-e, vsakega s svojimi pravili. Za Guest VLAN bo šla zadeva normalno ven. Za 'trusted' Vlan boš že imel težavo, ker ga boš verjetno moral na switchu preusmeriti v interno Trusted omrežje in tako nad prometom ne boš imel nadzora. Alternativno lahko promet pošlješ preko zunanjega hosted servisa, vendar ga boš s tem performančno ubil.
Pri 'BYOD' VLAN-u, ki ga želiš natančno omejevati in filtrirati, pa tudi usmerjanje na switchu ni možno. Ta promet boš moral v vsakem primeru pošiljat preko hosted servisa - se pravi v 'oblak' in nazaj. Performanse pa na dnu....

Zato je veliko bolj prikladno postaviti firewall na lokacijo, ne pa da gostuješ nekje v 'oblaku'.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ponudnik gostovanja plačal milijon dolarjev zaradi izsiljevalskega virusa

Oddelek: Novice / Kriptovalute
3516997 (14193) Ghost7
»

Izsiljevalski virus, ki bi se igral

Oddelek: Novice / Varnost
64636 (2043) mtosev
»

izsiljevalski virus Locky (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
16943805 (34915) SeMiNeSanja
»

Izsiljevalski virusi napadajo tudi spletne strežnike na Linuxu

Oddelek: Novice / Kriptovalute
2012859 (10404) filipk
»

Raziskovalci razbili izsiljevalski BitCrypt

Oddelek: Novice / Kriptovalute
1310298 (8240) MrStein

Več podobnih tem