ランサムウェア”GandCrab”のバージョン2がリリース。
セキュリティ企業のBitdefender、ルーマニア警察、EuropolがランサムウェアGandCrabの共同調査を行っている。
彼らは、先週GandCrab RansomwareのCommand&Controlサーバーに対して(合法的に)ハッキングしてアクセスを行い、GandCrabの被害に遭ったファイルの一部を取得。
その後Bitdefenderは、被害者のファイルを復号化するツールを開発・リリースした。
この事を受けて、MalwareHunterTeamは、ランサムウェアの作成者であるGandCrabの開発者がより安全なC&Cサーバーを含むGandCrabの第2版をリリースした事を発見。
GandCrab2 ("version=1.0.0r") sample: https://t.co/et7XM5DuzK
— MalwareHunterTeam (@malwrhunterteam) 2018年3月5日
If someone didn't understand the previous thread (https://t.co/8iuXk9Phwa), these are from this.@BleepinComputer @demonslay335
cc @MarceloRivero
バージョン2には、バージョン1との差別化を可能にする変更が含まれている。
この記事では、バージョン1と比べて何が変わったのか等、GandCrab Ransomwareに感染しているかどうかを確認する方法を簡単に紹介する。
GandCrab v2になって変わった事とは
バックエンドにおける目立った変更点は、ランサムウェアのCommand&Controlサーバーのホスト名である。
新たなC&Cサーバーのホスト名は以下。
- politiaromana.bit
- malwarehunterteam.bit
- gdcb.bit
①のpolitiaromana.bitはルーマニア警察、②のmalwarehunterteam.bitはMalwareHunterTeamを指す文字列である事がみてとれる。
GandCrabの開発者は、操作を進める同機関・団体に対する”皮肉”を込めてこのような名前にしたと考えられている。
GandCrabは、暗号化する前にC&Cサーバーにアクセスする。もしアクセス出来ない場合は暗号化を行わない。
どのようにホスト名の解決をする為に、http://ipv4bot.whatismyipaddress.com/にアクセスして被害者のグローバルIPアドレスを割り出す。
その他の変更
その他に施された変更は、暗号化ファイルに使用される拡張子、脅迫文、支払い用ページである。
以下にそれぞれ項目を分けて見ていこう。
拡張子への変更
バージョン2のGandCrabでは、暗号化されたファイルのファイル名に.CRAB拡張子が追加されるようになった。
たとえば、test.jpgが暗号化されると、test.jpg.CRABという名前に変更される。
(暗号化されたファイル。BleepingComputerより引用。)
脅迫文の変更
新しい脅迫文のファイル名はCRAB-Decrypt.txtである。
現在はToxインスタントメッセージングサービスを通じて開発者に連絡する方法が含まれている。
(GandCrabの脅迫文。BleepingComputerより引用。)
支払いページの変更
GandCrab v2のTOR支払いページが刷新された。
(身代金の支払い用ページ。BleepingComputerより引用。)
バージョン2の復号化ツールの有無
現段階ではバージョン2の被害に遭っても、復号化する手段が無い。
IOC
Hashes:
966a0852c8adbea0b7b7aada7c2c851ee642c7bca7da3b29ee143f47ddeb90a5
Associated Files:
CRAB-DECRYPT.txt
Ransom Note Contents:
---= GANDCRAB =---
Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser - https://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: http://gdcbmuveqjsli57x.onion/[id]
5. Follow the instructions on this page
On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
If you can't download TOR and use it, or in your country TOR blocked, read it:
1. Visit https://tox.chat/download.html
2. Download and install qTOX on your PC.
3. Open it, click "New Profile" and create profile.
4. Search our contact - 6C5AD4057E594E090E0C987B3089F74335DA75F04B7403E0575663C26134956917D193B195A5
5. In message please write your ID and wait our answer: 6361f798c4ba3647
DANGEROUS!
Do not try to modify files or use your own private key - this will result in the loss of your data forever!