www.bleepingcomputer.com

セキュリティ企業のBitdefender、ルーマニア警察、EuropolがランサムウェアGandCrabの共同調査を行っている。

彼らは、先週GandCrab RansomwareのCommand＆Controlサーバーに対して（合法的に）ハッキングしてアクセスを行い、GandCrabの被害に遭ったファイルの一部を取得。

その後Bitdefenderは、被害者のファイルを復号化するツールを開発・リリースした。

この事を受けて、MalwareHunterTeamは、ランサムウェアの作成者であるGandCrabの開発者がより安全なC＆Cサーバーを含むGandCrabの第2版をリリースした事を発見。

GandCrab2 ("version=1.0.0r") sample: https://t.co/et7XM5DuzK
If someone didn't understand the previous thread (https://t.co/8iuXk9Phwa), these are from this.@BleepinComputer @demonslay335
cc @MarceloRivero

— MalwareHunterTeam (@malwrhunterteam) 2018年3月5日

バージョン2には、バージョン1との差別化を可能にする変更が含まれている。

この記事では、バージョン1と比べて何が変わったのか等、GandCrab Ransomwareに感染しているかどうかを確認する方法を簡単に紹介する。

GandCrab v2になって変わった事とは

バックエンドにおける目立った変更点は、ランサムウェアのCommand＆Controlサーバーのホスト名である。

新たなC&Cサーバーのホスト名は以下。

1. politiaromana.bit
2. malwarehunterteam.bit
3. gdcb.bit

①のpolitiaromana.bitはルーマニア警察、②のmalwarehunterteam.bitはMalwareHunterTeamを指す文字列である事がみてとれる。

GandCrabの開発者は、操作を進める同機関・団体に対する”皮肉”を込めてこのような名前にしたと考えられている。

GandCrabは、暗号化する前にC&Cサーバーにアクセスする。もしアクセス出来ない場合は暗号化を行わない。

どのようにホスト名の解決をする為に、http://ipv4bot.whatismyipaddress.com/にアクセスして被害者のグローバルIPアドレスを割り出す。

その他の変更

その他に施された変更は、暗号化ファイルに使用される拡張子、脅迫文、支払い用ページである。

以下にそれぞれ項目を分けて見ていこう。

拡張子への変更

バージョン2のGandCrabでは、暗号化されたファイルのファイル名に.CRAB拡張子が追加されるようになった。

たとえば、test.jpgが暗号化されると、test.jpg.CRABという名前に変更される。

(暗号化されたファイル。BleepingComputerより引用。)

脅迫文の変更

新しい脅迫文のファイル名はCRAB-Decrypt.txtである。

現在はToxインスタントメッセージングサービスを通じて開発者に連絡する方法が含まれている。

（GandCrabの脅迫文。BleepingComputerより引用。)

支払いページの変更

GandCrab v2のTOR支払いページが刷新された。

（身代金の支払い用ページ。BleepingComputerより引用。)

バージョン2の復号化ツールの有無

現段階ではバージョン2の被害に遭っても、復号化する手段が無い。

IOC

Hashes:

966a0852c8adbea0b7b7aada7c2c851ee642c7bca7da3b29ee143f47ddeb90a5

Associated Files:

CRAB-DECRYPT.txt

Ransom Note Contents:

---= GANDCRAB =---

Attention!

All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB

The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.

The server with your key is in a closed network TOR. You can get there by the following ways:

1. Download Tor browser - https://www.torproject.org/

2. Install Tor browser

3. Open Tor Browser

4. Open link in tor browser: http://gdcbmuveqjsli57x.onion/[id]

5. Follow the instructions on this page

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.

If you can't download TOR and use it, or in your country TOR blocked, read it:

1. Visit https://tox.chat/download.html

2. Download and install qTOX on your PC.

3. Open it, click "New Profile" and create profile.

4. Search our contact - 6C5AD4057E594E090E0C987B3089F74335DA75F04B7403E0575663C26134956917D193B195A5

5. In message please write your ID and wait our answer: 6361f798c4ba3647

DANGEROUS!

Do not try to modify files or use your own private key - this will result in the loss of your data forever!