Malware voor porno-uitbuiting GandCrab is terug, in een romantische variant

april 12, 2019

“We hebben je webcam gehackt en hebben jou betrapt op het kijken naar porno. En we hebben je data geëncrypteerd. En nu willen we losgeld. ” Misschien herinner je je nog dat een soortgelijke chantage-methode vorig jaar onwijs succesvol was. Nu lijkt het erop dat de geruchten over het uitsterven van de ransomware achter deze uitbuitingen ietwat overdreven zijn.

GandCrab ransomware is teruggekeerd en is actiever dan ooit tevoren.  De ontwikkelaars brengen voortdurend nieuwe versies uit om hun huidige aandeel in de ransomwaremarkt, nu 40% van het totaal, niet te verliezen. Dan zijn er ook nog aanvallers die GandCrab inhuren en propageren, en die kiezen voor gediversifieerde, creatieve en soms zelfs romantische tactieken om slachtoffers te besmetten.

Sentimentele ransomware

Onderwerpen met liefdesverklaringen klinken heel mooi, maar “Mijn liefdesbrief voor jou,” “Ik ben verliefd op je,” en “Heb mijn gedachten over jou op papier gezet” zijn eigenlijk heel onheilspellend. Rondom dagen als Valentijnsdag, Kerstmis, Oud en nieuw of jouw verjaardag, of zelfs op een grijze maandagochtend, gaan de alarmbellen bij het zien van zo’n bericht waarschijnlijk niet eens af. Net zoals iedere e-mail, is extra zorg bij dit soort erg gepast.

De meest voorkomende variant van kwaadaardige e-mails heeft een romantisch onderwerp, een hartje in de tekst, en een bijlage (een ZIP-bestand met een typische naam als Love_You gevolgd door een reeks cijfers. Als je het bestand uitpakt en het JavaScript-bestand opent, dan wordt de GanCrab ransomware gedownload.

Daarna word je doorverwezen naar een tekstbestand waarin staat dat alle data op jouw computer geëncrypteerd is en dat je losgeld (meestal bitcoins) moet betalen om het terug te krijgen. In het geval je niet met cryptovaluta om kunt gaan, word je vriendelijk doorverwezen naar een live-chat waarin je uitleg krijgt over het betalen van het losgeldbedrag.

Business ransomware

Als we terugblikken naar 2017, dan zien we dat er een patch uitgebracht was die een kwetsbaarheid dekte in een tool voor de synchronisatie van data tussen twee managementsystemen voor IT-bedrijven. Maar niet iedereen installeerde de patch. In 2019 heeft GandCrab het gemunt op diegenen die de patch niet hebben geïnstalleerd, met als doel zoveel mogelijk computers te encrypteren.

De boosdoeners kunnen door de kwetsbaarheid nieuwe administratoraccounts aanmaken om vervolgens commando’s te geven voor de installatie van ransomware op de endpoints in het systeem. In andere woorden, de apparaten van klanten van de desbetreffende bedrijven worden geëncrypteerd om vervolgens losgeld te kunnen eisen (altijd in cryptovaluta).

Ransomware voor verantwoordelijke alarmisten (iedereen)

Wie van ons zou de bijlage van een e-mail openen als er stond dat het een update is van de nooduitgangen op kantoor? Zelfs als het afkomstig zou zijn van een compleet onbekende? Hoogstwaarschijnlijk iedereen. Want uiteindelijk onthouden slechts enkelen de namen van de veiligheidsmanagers.

De aanvallers begonnen met het uitbuiten van die kans, met het versturen van kwaadaardige e-mails met een word-bestand in de bijlage. Diegenen die het bestand openen, zien alleen de titel “Nooduitgangenkaart” en de knop Inhoud inschakelen. Als je op de knop drukt, wordt de ransomware GandCrab geïnstalleerd.

Ransomware voor betalers

Een andere tactiek is het gebruik van e-mails die lijken op een factuur of een betalingsevestiging die via een WeTransfer-link gedownload kan worden. De link verwijst door naar een zip-, of in sommige gevallen een RAR-bestand, met een wachtwoord om het te openen. Drie keer raden wat er zich in het bestand bevindt.

Ransomware voor italianen

Een andere variant is een “betalingsherinnering” in de vorm van een Excel-bestand in de bijlage. Probeer het te openen en er verschijnt een venster waarin staat dat weergave niet mogelijk is en dat je moet klikken op Bewerken inschakelen en Inhoud inschakelen om het te kunnen weergeven.

Merkwaardig genoeg zijn alleen Italianen doelwit van deze aanvallen (vooralsnog). Door te klikken op de aangewezen knoppen wordt een script ingeschakeld die controleert of jouw computer zich in Italië bevindt, door te kijken naar de taal van het besturingssysteem.

Is dit niet het geval, dan gebeurt er niets. Maar als je in Italië lijkt te zijn, dan krijg je een portie humor voorgeschoteld, namelijk een afbeelding van Mario. Je weet wel, die van Super Mario Bros.

De afbeelding van Mario bevat kwaadaardige code die malware downloadt

 

De afbeelding, die wordt gedownload zodra je klikt op de bestanden om die weer te geven, bevat de kwaadaardige PowerShell-code die malware begint te downloaden. Vandaag de dag zijn onderzoekers het er nog niet over eens over welke malware het precies gaat: GandCrab, die jouw data encrypteert, of Ursnif, die jouw bankgegevens en inloggegevens steelt. Eerlijk gezegd maakt het weinig verschil: doorslaggevend is de afleveringsmethode, hoewel die constant evolueert.

Durf het gevecht met ransomware aan te gaan

GandCrab wordt door een boel mensen verspreidt. Dit wordt ransomware-als-een-service genoemd, ontwikkeld door een groep boosdoeners een verhuurd aan andere misdadigers, die zoveel mogelijk doelwitten proberen te maken om hun data te encrypteren. Maar ondanks de verschillende leveringsmethoden, kun je met een paar simpele tips GandCrab buiten houden:

  • Bij de ontvangst van een onverwachte e-mail dien je eerst te achterhalen of de e-mail echt is, voordat je de bijlage opent. Zo kun je bijvoorbeeld contact opnemen met de afzender.
  • Zorg altijd voor een betrouwbare en werkende back-up van je belangrijkste data, die je kunt terughalen in geval van nood.
  • Gebruik een goede veiligheidsoplossing om er zeker van te zijn dat je computer niet besmet wordt met ransomware.

 

Dit zou voldoende moeten zijn om nooit zelf een GandCrab tegen te moeten komen. Maar zelfs als je computer geencrypteerd is door GandCrab, dan is er een manier om de schade te beperken:

  • Er is een kans om je bestanden terug te krijgen zonder te betalen. Bekijk de decryptie-tool op de website No More Ransom Project. Sommige versies van GandCrab ransomware vertonen gebreken die decryptie toestaan. Helaas geldt dit niet voor alle versies.
  • Alvorens gebruik te maken van de decryptie-tool, dien je een betrouwbare antivirusoplossing te gebruiken om alle ransomware van je apparaat te gooien. Anders zal de malware herhaaldelijk jouw systeem of bestanden encrypteren.