Как распространяется вымогатель GandCrab

«Мы взломали вашу веб-камеру и записали, как вы смотрите порно. А еще мы зашифровали ваши данные. И теперь хотим получить с вас выкуп!». Если помните, похожая схема пользовалась популярностью у мошенников в прошлом году. А недавно выяснилось, что слухи о смерти зловреда, который использовался в этих схемах, несколько преувеличены.

Вымогатель GandCrab все еще в деле — и активен как никогда. Его разработчики постоянно выпускают новые версии, опасаясь потерять завоеванную тяжким преступным трудом долю на рынке программ-вымогателей (примерно 40%). Те, кто арендует и распространяет GandCrab, тоже стараются идти в ногу со временем: они используют разнообразные и порой довольно нестандартные тактики, чтобы заманивать жертв и заражать их устройства. Иногда мошенники даже пытаются играть с чувствами.

Как вымогают у сентиментальных

Если вам признаются в любви уже в теме письма, вы наверняка захотите его прочитать. Но иногда заголовки вроде «Мое любовное послание к тебе», «Люблю тебя» и «Думаю о тебе» не предвещают ничего хорошего. Накануне Дня святого Валентина, Восьмого марта, Нового года и вашего дня рождения такие письма скорее всего не вызовут подозрений. Возможно, они не покажутся странными и в обычный будний день. Но осторожными нужно быть с любыми электронными письмами – независимо от содержания.

Сейчас в ходу такие вредоносные рассылки: в теме письма — романтическое признание, в самом тексте — сердечки, а в приложении — ZIP-файл, обычно с названием вроде «Люблю_тебя0891». Архив содержит файл JavaScript. Если распаковать архив и запустить файл, он загрузит на ваше устройство GandCrab.

После этого система перенаправит вас к сообщению о том, что все данные на вашем компьютере зашифрованы, и вам нужно заплатить выкуп (скорее всего, в биткойнах), чтобы их вернуть. На случай, если вы не знаете, как обращаться с криптовалютами, организаторы атаки любезно предоставят вам доступ к чату, где расскажут, как приобрести нужную сумму.

Как вымогают у корпоративных пользователей

Еще в 2017 году был выпущен патч, закрывший уязвимость в некоем инструменте для синхронизации данных между двумя системами управления. Однако заплатку установили далеко не все ИТ-компании, которые пользовались этим решением. В 2019-м GandCrab портит жизнь тем, кто не ставит обновления, заражая все компьютеры, до которых может дотянуться.

Уязвимость позволяет злоумышленникам создавать новые учетные записи администратора и устанавливать вредоносное ПО на управляемых рабочих местах. Иными словами, мошенники шифруют информацию на устройствах клиентов, которых обслуживает атакованная ИТ-компания, и требуют выкуп (всегда в криптовалюте).

Как вымогают у тех, кто ответственно относится к аварийным ситуациям (а таких большинство)

Вам приходит электронное письмо, где говорится, что во вложении новая схема аварийной эвакуации для здания, в котором вы работаете. Вы бы открыли прикрепленные файлы, даже если адрес отправителя вам не знаком? Скорее всего, да. Мало кто помнит имя сотрудника, ответственного за безопасность.

Преступники пользуются этой психологической уловкой: они рассылают вредоносные письма с файлом Word во вложении. Те, кто его открывают, видят только заголовок («Схема аварийных выходов») и кнопку Включить содержимое. Если нажать ее, установится GandCrab.

Как вымогают у пользователей платежных систем

Еще одна мошенническая схема. Вы получаете электронное письмо, похожее на инвойс о подтверждении оплаты, который можно загрузить с WeTransfer. По ссылке скачивается архив ZIP (иногда RAR) и пароль для него. Угадайте, что внутри.

Как вымогают у итальянцев

Бывает, что злоумышленники прилагают к письму «уведомление о платеже» в формате Excel. Если вы попытаетесь его открыть, появится диалоговое окно с информацией, что вы не можете открыть документ онлайн и что для просмотра нужно нажать Разрешить редактирование и Включить содержимое.

Как ни странно, таким образом нападают только на итальянцев (по крайней мере пока). Нажимая указанные кнопки, вы активируете скрипт, который проверяет, не находится ли ваш компьютер в Италии. Он определяет это по языку операционной системы, так что если у вас не установлен итальянский, ничего особенного не произойдет. В противном случае вам придется испытать на себе сомнительное чувство юмора атакующих и полюбоваться на картинку с Марио, знаменитым водопроводчиком из игры Super Mario Bros.

Аналогичная картинка с Марио содержит код, загружающий вредоносное ПО

Изображение загружается, когда вы нажимаете злосчастную кнопку Включить содержимое. В файле содержится код PowerShell, который загружает вредоносное ПО. Впрочем, пока исследователи не сходятся в том, какое именно: GandCrab, шифрующий ваши данные, или Ursnif, крадущий банковские реквизиты и учетные данные. Но это, честно говоря, не так важно. Нас в данном случае интересует только метод доставки вредоносного кода (хотя такие вещи все равно постоянно меняются).

Скажите «нет» жадным крабовладельцам

GandCrab распространяют самые разные люди: разработчики сдают его в аренду другим темным личностям по модели «шифровальщик как услуга», а те уже стараются заразить как можно больше устройств. Несмотря на разнообразие методов распространения, всего несколько простых рекомендаций могут защитить вас от клешней GandCrab. Вот они.

  • Если вы получили странное электронное письмо, постарайтесь убедиться, что это не проделки мошенников, прежде чем открывать вложение. Для этого можно, например, позвонить отправителю.
  • Регулярно делайте резервные копии своих данных, проверяйте их и храните в надежном месте, чтобы в случае чрезвычайной ситуации информацию можно было легко восстановить.
  • Используйте качественное защитное решение, чтобы отражать атаки всех видов вымогателей.

Скорее всего, этих мер будет достаточно, чтобы никогда не сталкиваться с GandCrab лицом к лицу. Но если ваши данные уже зашифрованы, вы все же можете попробовать минимизировать ущерб.

  • Возможно, вам удастся получить файлы назад бесплатно: проверьте, сработает ли дешифратор с сайта проекта No More Ransom. У некоторых версий GandCrab есть слабые места, и иногда зашифрованные данные поддаются восстановлению. К сожалению, это касается не всех версий.
  • Перед тем как загрузить и запустить дешифратор, удалите программу-вымогатель с устройства с помощью надежного антивируса, иначе зловред снова все пошифрует.