Was ist GandCrab Ransomware? Wer steckt dahinter?
Das Schadprogramm GandCrab (Ransomware) ist seit Januar 2018 bekannt und dafür bekannt, dass es sich auf Computern einschleust und dann die Daten auf dem Computer verschlüsselt, um den Benutzer gegen Lösegeld zu erpressen. Im Gegenzug verspricht GandCrab, die Daten wieder freizugeben. Seit 2018 wurden mehrere GandCrab Versionen in Umlauf gebracht. Eine besonders gefürchtete davon ist GandCrab V4, denn sie verbreitete sich seit 2019 schnell und war im Stande sich gegen eine Reihe von Sicherheitsbarrieren durchzusetzen.
Einigen Hinweisen zufolge wurde GandCrab von einer Gruppe von Cyberkriminellen entwickelt, die sich als „GandCrab-Crew“ bezeichnen. Sie koordinieren ihre Aktivitäten über verschiedene Online-Plattformen, z.B. Darkweb-Foren, und verbreiten bösartige Anhänge via E-Mails, gefälschte Online-Anzeigen oder durch Schwachstellen älterer Windows Versionen.
Wie infiziert der GandCrab Erpressungstrojaner den Computer?
Durch die Cybersicherheitsforschung sind mehrere Verbreitungswege des GandCrab Ransomware Erpressungstrojaners bekannt.
- Spam-E-Mail-Kampagnen: Die bekannteste Methode ist die Verbreitung der Malware über Spam-E-Mail-Kampagnen von Absendern mit unterschiedlichen Namen. Die E-Mails sind getarnt, zum Beispiel als Rechnungen, Einkaufsbelege oder Bewerbungen und beinhalten zumeist einen PDF-Anhang mit weiteren Details. Im E-Mail Text ist dagegen nur davon die Rede, dass ein „DOC angehängt“ wurde. Das PDF enthält dann die Ransomware und verschlüsselt die Dateien.
- Exploit-Kits: Ein weiterer Verbreitungsweg geschieht über Exploit-Kits, wie das Magnitude Exploit Kit. Diese Tools nutzen Schwachstellen in Software aus, um die Ransomeware auf Computern zu installieren. Sie werden bei Angriffen auf Web-Browser, z.B. durch gefälschte Online-Werbeanzeigen, oder Betriebssysteme eingesetzt und verschlüsseln die Daten mit der Dateierweiterung „.CRAB“.
- Ransomware-as-a-Service (RaaS): Schließlich wird GandCrab auch als Ransomware-as-a-Service (RaaS) in russischen Untergrund-Hacking-Foren als Partnerprogramm angeboten. Angeblich gäbe es um die 100 Partner, welche eine hohe Gewinnbeteiligung zwischen 60 und 70 % der Einnahmen erhielten. Wenn zunächst der Hauptanteil der infizierten Computer sich entweder in den USA oder in Großbritannien befindeten, unterstützten neuere Versionen der Ransomware zusätzliche Sprachen, wie Französisch, Deutsch, Italienisch oder Japanisch.
Achtung: GandCrab V4 Trojaner getarnt im Anhang von Bewerber E-Mails
Seit Januar 2019 kursieren zahlreiche Spam-Emails von einer vermeintlichen Bewerberin inklusive Foto und ZIP Datei im Anhang in den Postfächern vieler Internetnutzer. Im Betreff der E-Mail steht „Bewerbung von Hannah Sommer“. Die Namen variieren und auch die dazugehörigen Fotos der Bewerber. Es handelt sich jedoch keinesfalls um eine Bewerbung, sondern um den gefährlichen Crypto-Trojaner GandCrab V4.
Gefährdet sind hier vor allem Nutzer älterer Windows Versionen, da sich im Anhang ein VBS Downloader bedindet, der die Ransomware GandCrab Version 4.x auf dem PC installiert. Nach der Installation werden sämtliche, zugängliche Daten durch die Ransomware verschlüsselt. Die Dateien erhalten danach die Endung „.krab“. GandCrab V4 fordert dann den Benutzer zu einer Geldzahlung auf, um die Daten zurückzuerhalten.
Beispiel: Gefahr von infiziertem E-Mail-Anhäng durch GandCrab Ransomware
Vermeintlich unauffällig sieht diese Email mit Ihren Anhängen aus. Schauen Sie dennoch genau hin und lassen Sie Anhänge durch Sicherheitsprogramme prüfen, bevor Sie diese öffnen bzw. herunterladen.
Besteht aktuell noch Gefahr durch den GandCrab Trojaner?
Wenn 2019 einige Sicherheitsforscher auf Twitter berichten, dass die Entwickler von GandCrab im Hacker-Forum Exploit.it für Juni 2019 das Ende der Ransomware bekannt gaben, gibt es dennoch keine Garantie, dass sie jemals vollständig eingestellt wurde. Andere Quellen berichten von neuen GandCrab Versionen (GandCrab v5, v5.0.1, v5.0.2 sowie v5.0.4) und anhaltenden GandCrab Angriffen bis November 2022. Es bleibt demnach auch im Jahr 2022 zu bezweifeln, ob GandCrab tatsächlich jemals eingestellt wurde oder zukünftig eingestellt wird.
GandCrab Ransomware bleibt also eine reale Bedrohung für Internetnutzer und Unternehmen. Leider bietet kein System 100%ige Sicherheit vor einem Cyber-thread. Den bestmöglichen Schutz vor Ransomware gibt es jedoch nur mit regelmäßigen Backups, einem vorsichtigen Bewusstsein bei Spam-E-Mails und Werbeanzeigen sowie aktueller Sicherheitssoftware auf dem Computer.
Wie kann ich mich vor einem Angriff durch GandCrab Ransomware schützen?
DATA REVERSE® hat Ihnen eine Reihe von Maßnahmen zur Sicherheit vor Befall mit Erpressungstrojanern zusammengestellt, welche Sie ergreifen können, um sich vor GandCrab Ransomware zu schützen. Dazu gehören unter anderem:
- Führen Sie Updates Ihrer Sicherheitssoftware umgehend durch, um Sicherheitslücken zu schließen (Windows, Firewall, Virenschutz)
- Öffnen Sie keine Anhänge oder Links von E-Mails von unbekannten oder vermeintlich vertrauenswürdigen Absenden (Regierungsbehörden, Großunternehmen, o.Ä.)
- Nutzen Sie vertrauenswürdige Sicherheitssoftware, um den Computer zu schützen
- Machen Sie regelmäßig Sicherungskopien Ihrer wichtigsten Daten, um im Ernstfall auf das Backup zurückgreifen zu können
Was tun bei einem Befall durch den GandCrab Erpressungstrojaner?
Führen Sie die folgenden Maßnahmen möglichst umgehend durch:
- Internetverbindung trennen, um die Verschlüsselung anderer Geräte zu verhindern
- Externe Festplatten entfernen, um deren Infizierung zu unterbinden
- Netzwerkzugänge deaktivieren, also Netzwerkkabel abziehen
- IT Verantwortlichen benachrichtigen, damit dieser Maßnahmen ergreifen kann
- Andere Mitarbeiter vor der Gefahr warnen, um den Schadensumfang zu begrenzen
- Datenspezialist kontaktieren und Datenzustand professionell prüfen lassen
Achtung bei Netzwerkspeichern: Besonders kritisch ist ein GandCrab Angriff auf Netzwerkspeicher, da hier alle Daten im Netzwerk betroffen und verschlüsselt werden können. Entfernen Sie also sofort das Netzwerkkabel Ihres infizierten Computers, um andere Systeme zu schützen!
Ist eine GranCrab Entschlüsselung der Daten durch DATA REVERSE® möglich?
Dank unserer langjährigen Erfahrung der Datenrettung, IT-Forensik ist DATA REVERSE® häufig Ansprechpartner zur professionellen Daten-Entschlüsselung durch zahlreise Erpressungstrojaner (GandCrab, Locky, Tesla-Crypt, usw.). Unseren Kryptografie-Spezialisten ist es in vielen Fällen gelungen, eine Entschlüsselung von GandCrab Ransomware vorzunehmen. Allerdings gilt zu beachten, dass die Anforderungen und Kosten einer Entschlüsselung die einer herkömmlichen Datenrettung weit übertreffen, denn der Arbeitsaufwand und Anspruch an notwendiger Fachexpertise ist sehr hoch. Grundsätzlich können wir nicht garantieren, dass eine Entschlüsselung in jedem Fall gewährleistet werden kann.
Wie lange eine Datenwiederherstellung nach Entschlüsselung durch GranCrab Ransomware dauert, liegt deutlich über dem Zeitraum einer regulären Datenrettung. Sie sollten hier mit einer Dauer von 2-4 Wochen rechnen sowie mit aufwandsbezogenen Kosten von mehreren Tausen Euro. Da diese jedoch von den Details Ihres individuellen Cyberangriffs abhängen, empfehlen wir Ihnen die kostenfreie Beratung mit unserem TÜV-zertifizierten Kundenservice via 0800 / 073 88 36 .
Fragen und Antworten zum Angriff durch GandCrab V4 Trojaner
DATA REVERSE® rät Ihnen, sich niemals an die Regeln der Cyberkriminellen zu richten und auf das geforderte Lösegeld zu reagieren. Befolgen Sie nach Kenntnisnahme von der Infizierung unsere Erste Hilfe Maßnahmen und überprüfen Sie, ob aktuelle Backups Ihrer Daten vorliegen. Ist dies nicht der Fall, kontaktieren Sie einen professionellen Datenretter zur Wiederherstellung der entschlüsselten Daten, denn GandCrab-Ransomware kann mit professionellen Entfernungstools entfernt werden. Von einer eigenen Reparatur oder Wiederherstellung raten wir insbesondere dann ab, wenn Sie keine Erfahrung damit haben. Denn die Ransomware-Schadsoftware kann getarnt weiter aktiv sein und bewirken, dass Ihr Rettungsversuch zu irreparablen Systemschäden führt.
Wenn sich nach dem Öffnen eines E-Mail-Anhangs oder Klicken auf eine Online-Werbung eine Textdatei mit Lösegeldforderung öffnet, können Sie von einer beginnenden Infizierung mit Ransomware ausgehen. Wenn es sich um die neue GranCrab Version GandCrab v5.0.1 handelt, wird Ihnen in einem Textformat [random_extension]-Decrypt.txt e der folgende Text eingeblendet:
“ —= GANDCRAB V5.0.1 =—
Beachtung!
Alle Ihre Dateien, Dokumente, Fotos, Datenbanken und andere wichtige Dateien sind verschlüsselt und haben die Erweiterung:
Die einzige Methode zur Wiederherstellung von Dateien besteht darin, einen eindeutigen privaten Schlüssel zu erwerben. Nur wir können Ihnen diesen Schlüssel geben und nur wir können Ihre Dateien wiederherstellen. …“
Im Folgenden werden Sie u.a. zum Herunterladen eines TOR-Netzwerks aufgefordert, um den Schlüssel zu Ihren Daten zu erhalten. Dies geschiehe jedoch nur gegen ein Lösegeld. Da allerdings unklar ist, ob die Cyberkriminellen hinter GandCrab jemals Ihre Daten wieder freigeben, raten wir in jedem Fall von einer Lösegeldzahlung ab!
Es gibt eine Reihe von kostenlosen Recovery-Tools im Internet, welche bei Befall mit Verschlüsselungstrojanern wie GranCrab unzugängliche Daten wiederherstellen können. Allerdings sollten Sie beachten, dass der Trojaner noch während Sie weiter auf Ihr Gerät zugreifen und Software aus dem Internet herunterladen, weiter aktiv sein und auf Prozesse einwirken kann. Wenn Sie mit Entschlüsselungen keine Erfahrung haben und Ihre Daten wichtig sind, raten wir Ihnen von einem eigenen Eingreifen dringend ab.
Malware und Ransomware sind beides Schadsoftware, welche von Cyberkriminellen dazu genutzt werden in Computersystem einzudringen und sie zu schädigen. Währenddessen Malware jedoch dazu verwendet wird, das System zu beschädigen (Datendiebstahl, Computer wird langsamer), ohne dass es der Benztzer merkt, wird Ransomware verwendet, um die Daten des Nutzers zu verschlüsseln und gegen ihre Freigabe Lösegeld zu fordern.
Johannes Hoffmeister ist schon immer Nerd und begeistert von Technik. Angefangen hat alles im Alter von 8 Jahren in der Freizeitgruppe Elektronik. Das Demontieren und Herausfinden der eingesetzten Technologie war und ist eine der größten Herausforderungen. Im Reverse Engineering des 21. Jahrhunderts angekommen ist ihm kaum ein Datenträger fremd noch dessen Technologie und die jeweils erforderliche Strategie zur Datenrettung.
Niox