Две главных новости про вымогатель GandCrab, один из самых неприятных зловредов сезона: 1) его активность неумолимо растет 2) это уже не имеет особого значения, так как разработан дешифровщик специально для всех версий этой малвари.
Накануне специалисты компании Huntress Labs предупредили, что операторы вымогателя GandCrab обратили свое внимание на поставщиков управляемых услуг (Managed services providers, MSP) и через них заражают машины пользователей. Для этого они используют уязвимость двухлетней давности в плагине Kaseya, предназначенном для ПО ConnectWise Manage. Небольшие компании, работающие в сфере MSP, часто используют эти инструменты для удобства централизации данных клиентов, чтобы управлять рабочими станциями из центральной удаленной локации.
Еще в ноябре 2017 года была обнаружена уязвимость перед SQL-инъекциями (CVE-2017-18362), которая позволяет атакующему создать новый аккаунт администратора в основном приложении Kaseya. Хотя уже тогда была выпущена заплатка, многие пользователи не озаботились ее установкой. В результате кампания по заражению GandCrab, которая началась в январе 2019 года, поначалу была очень успешной. К примеру, на Reddit был описан случай, когда компрометация небольшого MSP привела к заражению 80 пользовательских машин шифровальщиком GandCrab. Этот случай был подтвержден специалистами Huntress Lab. Также в социальных сетях можно найти и другие сообщения о похожих атаках, где говорится уже о 1500 пострадавших.
В итоге разработчики ConnectWise даже были вынуждены выпустить официальное предупреждение, в котором напомнили своим пользователям о необходимости обновления Kaseya. 126 компаний, которые до сих пор не обновили плагин и, следовательно, находятся в зоне риска, были предупреждены персонально по телефону или электронной почте.
Меж тем, для всех пострадавших от краба-вымогателя, наконец-то прозвучали хорошие новости! Проект No More Ransom опубликовал бесплатную утилиту, в разработке которой принимали участие компания Bitdefender, Европол и румынская полиция. В результате у специалистов получилась универсальная утилита, которая способна расшифровать файлы, зашифрованные GandCrab версий 1, 4, 5. Основным отличием данной программы является возможность расшифровать файлы, над которыми потрудились версии вредоноса от 5.0.4 до 5.1. На данный момент известно, что 5.1 является последней версией вымогателя GandCrab. Этот релиз полезного приложения стал третьим за последние 12 месяцев. Впервые утилита появилась в свободном доступе в феврале 2018 года. По словам разработчиков, она помогла восстановить данные более чем 2 тыс. домашних пользователей и компаний. В октябре ее заменила следующая версия декриптора. Обновленную программу с тех пор скачали более 400 тыс. раз, она помогла почти 10 тыс. жертв зловреда сэкономить более пяти миллионов долларов.
Напомним, GandCrab обошел другие программы-вымогатели по результатам 2018 года, заразив, по самым скромным подсчетам, более 500 тысяч жертв.
Впрочем, битва продолжается: авторы GandCrab внимательно следят за новостями про свое детище, и, по сообщению Bleeping Computer, уже выкатили версию вымогателя 5.2, против которой только что доработанный декриптор бессилен.
