Havěť (ransomware) s názvem GandCrab je poměrně rozšířená i na území ČR/SR. Ten, kdo se stal obětí této havěti, ten obvykle přišel o cenná data. Ransomware GandCrab totiž šifruje dokumenty, obrázky a další důležité soubory uživatele a následně po něm vyžaduje zaplacení výpalného za jejich obnovu. Zaplacení výpalného není zárukou, že útočník soubory obnoví. Záruku můžeme mít leda v tom, že to útočník zkusí v budoucnu znova. Ze získaných peněz může vytvořit ještě více sofistikovaný útok. A teď k tomu ještě tohle (níže)…

Společnost BitDefender informuje, že se jí s pomocí Rumunské policie, Europolu a dalších organizací, podařilo vytvořit nástroj pro dešifrování „spouště“ po ransomwaru GandCrab a to až do verze 5.1. Přitom ještě nedávno bylo možné dešifrovat bez výpalného jen do verze 5.0.3. Ač vypadá rozdíl v číslování minimální, za několik posledních měsíců jsme odmítli (i v rámci služby nešlape.cz) několik zájemců s tím, že jim nedokážeme se záchranou dat pomoci (obvykle šlo o GandCrab 5.0.4).

Po zašifrování lze na ploše počítače najít textový soubor, který obsahuje i stěžejní údaj o verzi havěti a tedy i odpověď na otázku, zda lze data zachránit zdarma, bez nutnosti platit výpalné.

To se teď změnilo! Kdo vydržel a zašifrovaná data si ponechal, má šanci na jejich obnovu! Pro jistotu uvádím obecná pravidla při napadení ransomwarem:

  • Pokud nelze dešifrovat soubory pomocí dostupných nástrojů, určitě je nemažte a ponechte si i soubor s instrukcemi ohledně výplaného, kde jsou obvykle i veřejné části dešifrovacích klíčů. Někdy později je totiž reálná šance, že takový nástroj vznikne. Obvykle vlivem dopadení útočníků, nebo získáním jejich klíčů. Jako v případě GandCrab.
  • Neplatit „výpalné“ – je zde riziko, že se na Vás útočník vyprdne. Tj. zaplatíte a on Vám nepomůže. Naopak ho finančně podpoříte v dalších útocích v budoucnu.

Nejlepší prevencí je zálohování. Více o této problematice v knize o havěti.

Společnost BitDefender neuvádí žádné detaily ohledně toho, jak se ji podařilo zajistit dešifrování nových verzí GandCrab včetně verze 5.1. Ač spolupracovala s Europolem a dalšími, pravděpodobně nedošlo k rozprášení celého gangu, který za ransomwarem GandCrab stojí. Útočníci krátce na to vydali verzi 5.2, kterou již dešifrovat nelze (zatím). A jelikož je tento ransomware nabízen v režimu „Ransomware as a service“, útočníci o této nemilé skutečnosti informovali i své „klienty“…

Zdroj: https://twitter.com/CryptoInsane

Co říci na závěr? Doufám, že se tu někdy v budoucnu sejdeme u pozitivní novinky o existenci dekryptoru na GandCrab verze 5.2 🙂

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.