GandCrab un ransomware persistant

Depuis fin 2015, les attaques de crypto-ransomware se succèdent avec des hausses et des baisses.
Si dernièrement les ransomwares étaient un peu plus discrets, un ransomware tire sont épingle du jeu : GrandCrab.

Voici quelques informations autour de ce ransomware.

Introduction

Pour ceux qui retournent d’hibernation, un crypto-ransomware est un malware qui va rendre vos fichiers inaccessibles.
Pour se faire, ce dernier va appliquer un algorithme de chiffrement sur vos fichiers : Le chiffrement (cryptage) des données : comment ça marche et pourquoi l’utiliser
Seul le pirate connaît la clé de déchiffrement pour rendre vos fichiers à nouveaux accessibles et ce dernier va vous la faire payer.
En général, ce dernier demande plusieurs centaines d’euros et le paiement se faire en bitcoin sur des sites sur le réseau Tor.

Note d'instruction de paiement de GrandCrab V2.1
Note d’instruction de paiement de GrandCrab V2.1

On parle de crypto ransomware car ce dernier chiffre vos fichiers, il existe d’autres types de ransomware comme les Trojan Winlock.

Un ransomware peut faire des dégâts surtout dans le milieu des entreprises, car lorsqu’il s’exécute sur un PC, il va attaquer tous les disques locaux, réseau.
Si fichier se trouve sur équipement distant comme un NAS ou un serveur de fichiers, le ransomare pourra s’y attaquer à travers les accès de l’utilisateur courant.

Plusieurs versions

Plusieurs familles de ransomwares se sont succédées ces dernières années, certains sont encore vivantes et d’autres ne sont plus actives.
Vous trouverez la liste des plus importantes sur la page : Les familles de ransomwares.
Les années 2017 et 2018 avaient vu une baisse des demandes de désinfection.
En 2019, on constate toutefois que le ransomware GrandCrab continue à faire des dégâts.

Un ransomware à succès

GrandCrab est un crypto-ransomware apparu début 2018 (Janvier ou Février).
Ce dernier a très vite eu du succès et s’est retrouvé parmi un des plus actifs.
On estime qu’autour de Juillet 2018, le nombre de victimes par GrandCrab se porte à 500 000 de part le monde.
La demande de rançon la plus basse étant fixé à 600$, ce dernier a pu rapporter des millions.

Un des aspects qui a fait le succès de ce ransomware est l’ajustement de la note d’instruction de paiement.
Le ransomware selon la machine ne va pas demander la même somme d’argent.
Par exemple, si un serveur d’entreprise est touché, la rançon exigée va gonfler par rapport à un PC d’un utilisateur courant.

Le ransomware est aussi capable de demander un paiement en DASH une monnaie virtuelle concurrente de Bitcoin.

Un Ransomware-as-a-service

Dernièrement le modèle du ransomware GrandCrab a évolué et est passé en SaS soit donc un Ransomware-as-a-service.
Au lieu de vendre directement le kit, les concepteurs le « loue » et touche un pourcentage sur la somme des rançons versées d’un montant d’environ 30%.
Ce nouveau modèle commercial basé sur l’affiliation réduit le coût initial d’achat de «clients» tout en stimulant l’adoption.

Parfois, pour un petit prix, les concepteurs louent même un accès à des botnets qui peuvent aider à diffuser les messages contenant des pièces jointes infectées. Ces services regroupés font généralement partie de la même offre de ransomware en tant que service, permettant aux affiliés de lancer des campagnes mondiales contre les ransomwares en quelques clics seulement – sans aucune compétence technique – et de les diffuser immédiatement.

Un ransomware persistant

Pour maximiser le nombre de victime et rendre le ransomware toujours attrayant, les créateurs apportent des améliorations continuellement.

Ci-dessous, le groupe criminel NTCrypt s’allie avec celui de GrandCrab.
Il s’agit d’utiliser un service de cryptage pour rendre les fichiers du ransomware plus difficiles à détecter pour les antivirus.

Alliance entre les membres de NTCrypt et GrandCrab
Alliance entre les membres de NTCrypt et GrandCrab
Alliance entre les membres de NTCrypt et GrandCrab
Alliance entre les membres de NTCrypt et GrandCrab

Ainsi, le ransomware continue d’être relativement actif surtout face à ces concurrents.
Régulièrement sur les forums de désinfection on voit des victimes de GrandCrab se présenter.
Ci-dessous, voici un exemple de victime qui demande de l’aide sur un forum de désinfection.

Victime du ransomware GrandCrab
Victime du ransomware GrandCrab

Les versions de GrandCrab

GrandCrab comme tous les malwares évoluent pour apporter de nouvelles fonctionnalités ou technologies afin de rendre sa détection plus difficiles et échapper aux antivirus.
Des outils de déchiffrement peuvent voir le jour pour récupérer les fichiers.
Lorsque cela arrive, une nouvelle variante apparaît afin de rendre l’outil inopérant.

version 1

La version 1 apparue environ en Février 2018 a touché 50 000 utilisateurs de part le monde.
Un outil de déchiffrement fournit par la Police Roumaine (IGPR), Bitdefender et Europol a vite vu le jour.

Version 2

Le 5 Mars une nouvelle variante de GrandCrab apparaît, c’est la version 2.
L’outil de déchiffrement ne fonctionne plus et le code du ransomware est poussé sur une DLL.
Les fichiers touchés par cette variante utilise l’extension .CRAB
Enfin, cette variante variante de GrandCrab peut détecter l’antivirus installé.

Version 3

Le 23 avril 2018, la version 3 apparaît puis la version 3.0.1.
Cette dernière modifie le fond d’écran de l’ordinateur de la victime afin d’afficher un message indiquant qu’un ransomware a infecté l’ordinateur.

Version 4

Le 1er Juillet la version 4 voit le jour suivie quelques jours après par la version 4.0.1. Ces versions modifient la méthode de chiffrement.
L’extension des fichiers chiffrés passe avec l’extension .KRAB, et le fichier de note d’instruction se nomme KRAB-DECRYPT.txt.
Ce dernier contient une clé publique et privée.
La partie chiffrement est opérée par un processus séparé.
Enfin une fois le chiffrement terminé, le ransomware se ferme et ne reste pas actif dans le système.
Cette version ne modifie plus le fond d’écran de la victime.

Fichiers chiffrés avec extension KCRAB
Fichiers chiffrés avec extension KCRAB
KRAB-Decrypt.txt la note d'instruction de paiement de GrandCrab v4
KRAB-Decrypt.txt la note d’instruction de paiement de GrandCrab v4

Version 5

Enfin la version 5 de GrandCrab a vu le jour en septembre 2018 (source McAfee). Notamment le ransomware tire partie deux vulnérabilités afin de gagner des privilèges élévées dans le système.

  • CVE-2018-8440 qui touche Windows 7, Windows 8 et Windows 10.
  • CVE-2018-8120 qui touche les versions Windows 7, Windows Server 2008 R2 and Windows Server 2008

La version 5.0.1 corrige des bugs internes.
Puis la version 5.0.2 change l’extension des fichiers chiffrés de 5 caractères à 10 et corrige aussi des bugs internes notamment certains pouvaient faire que des fichiers ne soient pas chiffrés.

Annonce de la sortie de GrandCrab v5 sur les forums underground
Annonce de la sortie de GrandCrab v5 sur les forums underground

Enfin voici un récapitulatif de la timeline des différentes versions de GrandCrab.

GrandCrab evolution Timeline
source https://blog.barkly.com/gandcrab-5.0.5-breaks-bitdefender-gandcrab-decryption-tool

Juin 2019 : la fin

Le groupe a l’origine du ransomware dit s’arrêter après avoir gagné 2 milliards de dollars.
C’est donc la fin du ransomware Gancrab.

La fin du ransomware Gancrab

Une distribution via des PUPs

La distribution de GrandCrab est relativement classiques puis ce dernier se propage par :

  • Des campagnes d’email malveillant. Une pièce jointe zip permet d’infecter l’ordinateur de la victime.
  • Des Web ExploitKit comme RIG ExploitKit, Grandsoft, Fallout exploit kit et Magnitude. A la simple visite d’un site WEB piraté ou prévu à cet effet, un malware peut être chargé automatiquement. Cette attaque repose sur la présence de logiciels ou plugins du navigateur WEB vulnérables.
  • Connexions de bureau distantes avec une sécurité faible ou achetées dans des forums souterrains. Voir la page : Piratage de serveur Windows par Terminal Server
  • Des botnets tels que Phorpiex (un ancien botnet qui propage non seulement ce malware, mais bien d’autres)

Dernièrement, des PUPs installent des ransomwares dont GrandCrab.
Ainsi, l’utilisateur va par exemple chercher un crack pour un logiciel et tombe sur une plateforme de PUP.
Parmi les adwares et Browser Hijacker, l’utilisateur se trouve alors infecté par un ransomware.

Outils de récupération de fichiers

Magrè un certains professionnalisme, le ransomware possède beaucoup de bugs.
Notamment la partie chiffrement est mal conçu et des outils de déchiffrement ont pu être publiés par BitDefender.

Ainsi, certaines versions du ransomware peuvent être déchiffrés.
Quelques jours après la sortie de l’outil de BitDefender, les créateurs du ransomware publient une version où le déchiffrement ne fonctionne plus.
BitDefender peut alors mettre à jour son outil et ainsi de suite.

Il faut donc se tenir au courant ou tenter l’outil.
Les outils de ransomware vont probablement publié à terme une version non décryptable.

La page de téléchargement de l’outil de BitDefender : https://labs.bitdefender.com/2018/10/bitdefender-law-enforcement-solve-for-multiple-versions-of-gandcrab-with-new-decryptor/

Récupérer les fichiers chiffrés par GrandCrab ransomware
Récupérer les fichiers chiffrés par GrandCrab ransomware

Se protéger de GrandCrab

Outre les conseils habituels et utiles, utilisez un antivirus à jour etc.
Ne paniquer face à ces menaces bien qu’elles peuvent paraître impressionnantes.

L’utilisation d’anti-ransomware n’est pas justifiée souvent il s’agit de vous vendre des produits additifs.

Ne téléchargez pas n’importe quoi crack ou le premier fichier venu.
Faites attention aux pièces jointes envoyées par mail et vérifiez bien le contenu.

Pour sécuriser son ordinateur face aux logiciels malveillants, lire notre article : Sécuriser son ordinateur et connaître les menaces

Enfin et surtout, afin de protéger vos données, faites des sauvegardes régulières.
A cet effet, vous pouvez lire les tutos :

EDIT – Outil pour déchiffrer la version 5.2

EDIT – 18/05 – Un outil pour déchiffrer la v5.2 disponible : Outil pour décrypter GrandCrab v5.2

image_pdfimage_print
(Visité 1 286 fois, 2 visites ce jour)

Partager l'article