باج افزار GandCrab یکی دیگر از انواع باج افزار است که در دسته RaaS (باج افزار به عنوان یک سرویس) قرار دارد. این باج افزار در سال 2018 توسط کارشناسان شرکت امنیت سایبری LMNTRIX کشف شد. گردانندگان این نوع باج‌افزار که حتی به باج‌افزار چابک معروف شده، با انتشار بدافزاری که تعداد کمی از آن ساخته شده بود شروع به کار کردند و روز به روز روند کار رو تسریع و آن را بهبود می‌دادند. تبلیغ و ترویج این باج افزار معمولا بین هکرهای روسی در دارک وب انجام و در یک برنامه وابسته اجرا می شود.
باج افزار GandCrab چگونه کار می‌کند؟

فهرست مطالب





برای توزیع این باج افزاراز کیت‌ها یا بسته‌های بهره‌برداری RIG و GrandSoft از راه ارسال ایمیل‌های فیشینگ استفاده می‌شود. در اولین ماه شروع کار این باج گیر، آلوده‌شدن حدود 50000 هزار رایانه تخمین زده شد، که بیشتر این قربانیان اروپایی بودند و از هر قربانی چیزی حدود 400 تا 700،000 دلار ارز دیجیتال DASH باج خواسته شده بود.
باج افزار GandCrab و Vidar – یک ترکیب بدافزاری خطرناک

تقریباً یک سال پس از کشف باج افزار GandCrab، یک حمله ترکیبی از GandCrab و Vidar، شناسایی شد. Vidar طیف وسیع و زیادی از داده‌ها، از جمله گذرواژه‌ها، اسناد، اسکرین شات‌ها، اطلاعات احراز هویت دو مرحله ای ذخیره شده و کیف پول‌های ارزهای دیجیتال را برداشته و آن‌ها را به سرور C&C خود ارسال کرده بود. مرحله بعد، GandCrab رمزگذاری سیستم آلوده را شروع کرد و درخواست باج را برای قربانیان به نمایش گذاشته بود. این باج افزار برای توزیع این ترکیب از Fallout Exploit Kit استفاده کرده بود.

مهاجمان در اینجا حتی قبل از استقرار باج افزار به اجرای یک infostealer می‌پردازند، که حتی اگر قربانی از پرداخت باج امتناع کند، باعث تضمین حداقل درآمدی برای مهاجمان می‌شود. بدین معنا که مجرمان سایبری اگر هیچ استفاده‌ای هم از اطلاعات نکنند، به راحتی می‌توانند آن را در بازارهای زیرزمینی بفروشند.

تا چه حد باید نگران باج افزار GandCrab باشیم؟

نسخه‌های اولیه این باج گیر کم‌خطر یا بعضا بی‌خطر بودند، و در محیط‌هایی کار می‌کردند که امنیت آن‌طور که باید وجود نداشت. اما الان هر کسی که هنوز از ویندوز XP یا ویندوز 2003 استفاده می‌کند در معرض خطر این باج افزار قرار دارد. در حالی که پچ مایکروسافت برای سیستم‌عامل‌های قدیمی‌تر (به استثنای ویندوز 2000) در دسترس است. واین نکته هم نیز مهم است که بسیاری از راه‌حل‌های AV خیلی وقت است از این سیستم‌عامل‌های قدیمی‌تر پشتیبانی نمی‌کنند، و آنها را تبدیل به اهداف اصلی این باج‌افزار جدید و ارتقا یافته می‌کند.
روش محافظت در برابر باج افزار GandCrab

برای این کار فقط کافیست مراحل زیر را به درستی اجرا کنید و بعد از آن نگران این ویروس نباشید.
_از فایل های خود نسخه پشتیبان تهیه کنید

با پشتیبان‌گیری منظم، ویروس باج‌افزار خیلی کم‌خطر و بی‌آزار می‌شود. خیلی راحت سیستم خود را پاک کرده و بازیابی کنید و خیلی راحت ادامه دهید.
_مراقب پیوست‌ها و لینک‌های موجود در ایمیل باشید

اگر ایمیلی از طرف یک دوست یا هر شخص دیگری دریافت می‌کنید و به نظرتون ظاهر عجیبی داشت، مجددا آن را بررسی کنید. اگر این ایمیل از طرف شرکتی است که با آن کار می‌کنید، سعی کنید آن‌ را به وب سایت شرکت هدایت کنید و در صورت امکان، از برنامه‌های ضد بدافزار استفاده کنید.
_به طور مرتب پچ و بروزرسانی کنید

به روز نگه داشتن سیستم، مهاجمان را از سوء استفاده برای دسترسی غیرمجاز به رایانه شما جلوگیری می‌کند.
_دسترسی از راه دور را محدود کنید

بهترین راه برای محافظت در برابر حمله پروتکل دسکتاپ از راه دور (RDP) محدود کردن دسترسی آن است. از خود بپرسید این سوال واقعا پرسیدنی است که آیا واقعاً نیاز به دسترسی از راه دور به این سیستم وجود دارد؟ اگر بله که تا حد ممکن دسترسی را فقط به کاربرانی که واقعا نیاز دارند بدهید و بقیه دسترسی ها را مسدود و محدود کنید. روش بهتر، پیاده سازی یک شبکه خصوصی مجازی (***) برای کاربران است، این کار باعث خنثی شدن هگونه احتمال حمله RDP می‌شود.
_از رمزهای عبور قوی استفاده کنید

از رمزهای عبور یکسان در سایت‌ها استفاده نکنید. در صورتی که یک سیستم کاملاً نیاز به دسترسی از راه دور داشته باشد، از یک رمز عبور مناسب با احراز هویت چند عاملی استفاده کنید. شاید برایتان مسئله باشد که به خاطر سپردن تمام رمزهای عبور برای همه سایت‌ها و برنامه‌های مختلف کار سختی است ؛ اما جای نگرانی نیست و به راحتی میتوان از یکی از ابزارهای مدیریت رمز عبور استفاده کنید.
_ از نرم افزارهای امنیت سایبری استفاده کنید

به عنوان مثال، Malwarebytes Premium ویروس‌ها، تروجان‌ها، دانلودهای مخرب، لینک‌های بد و وب‌سایت‌های جعلی را مسدود می‌کند و با اینکار از ورود باج‌افزارهایی مانند GandCrab و سایر آلودگی‌های بدافزار جلوگیری می‌کند.
برای شناخت بیشتر باج افزارها و انواع دیگر آن به مقاله باج افزار چیست؟ رجوع کنید.
نحوه حذف باج افزار GandCrab

اگر جزء قربانیان قبلی GandCrab بوده‌اید، احتمال زیاد نیازی به پرداخت باج نداشته باشید. در غیر این صورت، این مراحل را باید برای حذف GandCrab از رایانه شخصی خود انجام دهید.

1.نمایش پسوند فایل در ویندوز

به طور پیش فرض، مایکروسافت ویندوز پسوندهای فایل (مانند .exe و .doc) را پنهان می کند و قبل از اینکه بتوانید مراحل بعدی را اجرا کنید ، باید پسوندها ببینید و آن‌ها را از حالت پنهان بیرون بیاورید. برای این‌کار، File Explorer را باز کرده، روی تب View کلیک کنید، و در آخر File Name Extensions را علامت بزنید.
2.نسخه باج افزار GandCrab را تعیین کنید.

اکنون که پسوند فایل‌ها را می‌ببینید، می‌توانید با تأیید پسوندهای فایل‌های رمزگذاری‌شده، متوجه شوید که کدام نسخه از GandCrab را سیستم شما را آلوده کرده است.

  • نسخه 1 GandCrab پسوند gdcb را دارد
  • نسخه 2 و 3 GandCrab پسوند crab را دارد.
  • نسخه 4 GandCrab پسوند krab را دارد.
  • نسخه 5 GandCrab یک پسوند تصادفی 5 حرفی را نشان می‌دهد.

3.رمزگشا(decryptor) را دانلود کنید.

یک رمزگشای رایگان GandCrab برای GandCrab نسخه های 1، 4، 5.01 و 5.2 وجود دارد. اگر پسوند فایل شما با این نسخه های ذکر شده مطابقت دارد، خیلی نگران نباشید و می‌توانید از این رمزگشا استفاده کنید. اما متأسفانه، هیچ ابزار رمزگشای رایگان برای GandCrab نسخه 2 و نسخه 3 وجود ندارد.

4.باج را نپردازید

اگر به GandCrab نسخه 2 یا نسخه 3 آلوده شده اید، ممکن است به پرداخت باج ترغیب شوید اما این کار را نکنید. با فرض اینکه سرورهای GandCrab هنوز فعال هستند، FBI، Europol و INTERPOL همگی توصیه به عدم پرداخت باج دارند. چرا که هیچ تضمینی برای بازگرداندن فایل‌های خود ندارید و این کار تنها باعث میشه شما به طعمه ای خوب برای حملات بعدی باج افزار تبدیل بشید.
سخن پایانی…

در این مقاله سعی بر این بود که باج افزار GandCrab را به طور کامل معرفی و نحوه پیشروی آن، روش مقابله با آن و همچنین حذف آن بصورت دستی را ارائه دهیم و امیدواریم که این برایتان مفید واقع شود و بتوانید در زمان وقوع حمله این باج افزار به درستی با آن مقابله کنید.
منبع: اورژانس باج افزار