باج افزار GandCrab(گندکرب) یکی دیگر از انواع باج افزار است که در دسته RaaS (باج افزار به عنوان یک سرویس) قرار دارد. این باج افزار در سال 2018 توسط کارشناسان شرکت امنیت سایبری LMNTRIX کشف شد. گردانندگان این نوع باجافزار که حتی به باجافزار چابک معروف شده، با انتشار بدافزاری که تعداد کمی از آن ساخته شده بود شروع به کار کردند و روز به روز روند کار رو تسریع و آن را بهبود میدادند. تبلیغ و ترویج این باج افزار معمولا بین هکرهای روسی در دارک وب انجام و در یک برنامه وابسته اجرا می شود.
باج افزار GandCrab چگونه کار میکند؟
فهرست مطالب
Toggleبرای توزیع این باج افزار از کیتها یا بستههای بهرهبرداری RIG و GrandSoft از راه ارسال ایمیلهای فیشینگ استفاده میشود. در اولین ماه شروع کار این باج گیر، آلودهشدن حدود 50000 هزار رایانه تخمین زده شد، که بیشتر این قربانیان اروپایی بودند و از هر قربانی چیزی حدود 400 تا 700،000 دلار ارز دیجیتال DASH باج خواسته شده بود.
باج افزار GandCrab و Vidar – یک ترکیب بدافزاری خطرناک
تقریباً یک سال پس از کشف باج افزار GandCrab، یک حمله ترکیبی از GandCrab و Vidar، شناسایی شد. Vidar طیف وسیع و زیادی از دادهها، از جمله گذرواژهها، اسناد، اسکرین شاتها، اطلاعات احراز هویت دو مرحله ای ذخیره شده و کیف پولهای ارزهای دیجیتال را برداشته و آنها را به سرور C&C خود ارسال کرده بود. مرحله بعد، GandCrab رمزگذاری سیستم آلوده را شروع کرد و درخواست باج را برای قربانیان به نمایش گذاشته بود. این باج افزار برای توزیع این ترکیب از Fallout Exploit Kit استفاده کرده بود.
مهاجمان در اینجا حتی قبل از استقرار باج افزار به اجرای یک infostealer میپردازند، که حتی اگر قربانی از پرداخت باج امتناع کند، باعث تضمین حداقل درآمدی برای مهاجمان میشود. بدین معنا که مجرمان سایبری اگر هیچ استفادهای هم از اطلاعات نکنند، به راحتی میتوانند آن را در بازارهای زیرزمینی بفروشند.
تا چه حد باید نگران باج افزار GandCrab(گندکرب) باشیم؟
نسخههای اولیه این باج گیر کمخطر یا بعضا بیخطر بودند، و در محیطهایی کار میکردند که امنیت آنطور که باید وجود نداشت. اما الان هر کسی که هنوز از ویندوز XP یا ویندوز 2003 استفاده میکند در معرض خطر این باج افزار قرار دارد. در حالی که پچ مایکروسافت برای سیستمعاملهای قدیمیتر (به استثنای ویندوز 2000) در دسترس است. واین نکته هم نیز مهم است که بسیاری از راهحلهای AV خیلی وقت است از این سیستمعاملهای قدیمیتر پشتیبانی نمیکنند، و آنها را تبدیل به اهداف اصلی این باجافزار جدید و ارتقا یافته میکند.
مطالب مرتبط:حذف باج افزار، رمزگشایی دادهها و بازیابی اطلاعات
روش محافظت در برابر باج افزار GandCrab
برای این کار فقط کافیست مراحل زیر را به درستی اجرا کنید و بعد از آن نگران این ویروس نباشید.
_از فایل های خود نسخه پشتیبان تهیه کنید
با پشتیبانگیری منظم، ویروس باجافزار خیلی کمخطر و بیآزار میشود. خیلی راحت سیستم خود را پاک کرده و بازیابی کنید و خیلی راحت ادامه دهید.
_مراقب پیوستها و لینکهای موجود در ایمیل باشید
اگر ایمیلی از طرف یک دوست یا هر شخص دیگری دریافت میکنید و به نظرتون ظاهر عجیبی داشت، مجددا آن را بررسی کنید. اگر این ایمیل از طرف شرکتی است که با آن کار میکنید، سعی کنید آن را به وب سایت شرکت هدایت کنید و در صورت امکان، از برنامههای ضد بدافزار استفاده کنید.
_به طور مرتب پچ و بروزرسانی کنید
به روز نگه داشتن سیستم، مهاجمان را از سوء استفاده برای دسترسی غیرمجاز به رایانه شما جلوگیری میکند.
_دسترسی از راه دور را محدود کنید
بهترین راه برای محافظت در برابر حمله پروتکل دسکتاپ از راه دور (RDP) محدود کردن دسترسی آن است. از خود بپرسید این سوال واقعا پرسیدنی است که آیا واقعاً نیاز به دسترسی از راه دور به این سیستم وجود دارد؟ اگر بله که تا حد ممکن دسترسی را فقط به کاربرانی که واقعا نیاز دارند بدهید و بقیه دسترسی ها را مسدود و محدود کنید. روش بهتر، پیاده سازی یک شبکه خصوصی مجازی (VPN) برای کاربران است، این کار باعث خنثی شدن هگونه احتمال حمله RDP میشود.
_از رمزهای عبور قوی استفاده کنید
از رمزهای عبور یکسان در سایتها استفاده نکنید. در صورتی که یک سیستم کاملاً نیاز به دسترسی از راه دور داشته باشد، از یک رمز عبور مناسب با احراز هویت چند عاملی استفاده کنید. شاید برایتان مسئله باشد که به خاطر سپردن تمام رمزهای عبور برای همه سایتها و برنامههای مختلف کار سختی است ؛ اما جای نگرانی نیست و به راحتی میتوان از یکی از ابزارهای مدیریت رمز عبور استفاده کنید.
_ از نرم افزارهای امنیت سایبری استفاده کنید
به عنوان مثال، Malwarebytes Premium ویروسها، تروجانها، دانلودهای مخرب، لینکهای بد و وبسایتهای جعلی را مسدود میکند و با اینکار از ورود باجافزارهایی مانند GandCrab و سایر آلودگیهای بدافزار جلوگیری میکند.
برای شناخت بیشتر باج افزارها و انواع دیگر آن به مقاله باج افزار چیست؟ رجوع کنید.
نحوه حذف باج افزار GandCrab
اگر جزء قربانیان قبلی GandCrab بودهاید، احتمال زیاد نیازی به پرداخت باج نداشته باشید. در غیر این صورت، این مراحل را باید برای حذف GandCrab از رایانه شخصی خود انجام دهید.
1.نمایش پسوند فایل در ویندوز
به طور پیش فرض، مایکروسافت ویندوز پسوندهای فایل (مانند .exe و .doc) را پنهان می کند و قبل از اینکه بتوانید مراحل بعدی را اجرا کنید ، باید پسوندها ببینید و آنها را از حالت پنهان بیرون بیاورید. برای اینکار، File Explorer را باز کرده، روی تب View کلیک کنید، و در آخر File Name Extensions را علامت بزنید. در اینجا شناخت درست و دقیق پسوندهای باج افزار و انواع مرتبط با آنها ضروری است.
2.نسخه باج افزار GandCrab را تعیین کنید.
اکنون که پسوند فایلها را میببینید، میتوانید با تأیید پسوندهای فایلهای رمزگذاریشده، متوجه شوید که کدام نسخه از GandCrab را سیستم شما را آلوده کرده است.
- نسخه 1 GandCrab پسوند gdcb را دارد
- نسخه 2 و 3 GandCrab پسوند crab را دارد.
- نسخه 4 GandCrab پسوند krab را دارد.
- نسخه 5 GandCrab یک پسوند تصادفی 5 حرفی را نشان میدهد.
3.رمزگشا(decryptor) را دانلود کنید.
یک رمزگشای رایگان GandCrab برای GandCrab(گندکرب) نسخه های 1، 4، 5.01 و 5.2 وجود دارد. اگر پسوند فایل شما با این نسخه های ذکر شده مطابقت دارد، خیلی نگران نباشید و میتوانید از این رمزگشا استفاده کنید. اما متأسفانه، هیچ ابزار رمزگشای رایگان برای GandCrab نسخه 2 و نسخه 3 وجود ندارد.
4.باج را نپردازید
اگر به GandCrab نسخه 2 یا نسخه 3 آلوده شده اید، ممکن است به پرداخت باج ترغیب شوید اما این کار را نکنید. با فرض اینکه سرورهای GandCrab هنوز فعال هستند، FBI، Europol و INTERPOL همگی توصیه به عدم پرداخت باج دارند. چرا که هیچ تضمینی برای بازگرداندن فایلهای خود ندارید و این کار تنها باعث میشه شما به طعمه ای خوب برای حملات بعدی باج افزار تبدیل بشید.
سخن پایانی…
در این مقاله سعی بر این بود که باج افزار GandCrab(گندکرب) را به طور کامل معرفی و نحوه پیشروی آن، روش مقابله با آن و همچنین حذف آن بصورت دستی را ارائه دهیم و امیدواریم که این برایتان مفید واقع شود و بتوانید در زمان وقوع حمله این باج افزار به درستی با آن مقابله کنید.