Adieu Gandcrab

 
En un an d’activité, nous estimons que GandCrab a fait plus de 1,5 million de victimes à travers le monde, particuliers et entreprises. Les opérateurs et les affiliés de GandCrab ont récemment affirmé avec aplomb  sur des forums privés que l’équipe derrière le ransomware avait extorqué plus de 2 milliards de dollars à leurs victimes.
Bien que ce nombre soit clairement exagéré, l’opération de GandCrab était suffisamment prolifique pour générer des revenus permettant à ses maîtres de prendre leur retraite. Selon la même publication, l’équipe de GandCrab a empêché les affiliés d’accéder aux nouvelles versions du logiciel malveillant et les a exhortés à se préparer à un arrêt imminent. L’arrêt sera suivi de la suppression de toutes les clés, laissant les victimes incapables de récupérer les données rachetées, même si elles paient la rançon.
Heureusement, nous avons publié une mise à jour de l’outil qui neutralise les dernières versions de GandCrab, y compris la version 5.2. Cet outil est disponible immédiatement et peut être téléchargé gratuitement ci-dessous ou à partir du projet No More Ransom.
 

Faits et chiffres sur GandCrab

 
Depuis sa création en janvier 2018, GandCrab est rapidement devenu l’outil de prédilection des hackers pour le ransomware basé sur des affiliées. Situés vraisemblablement dans l’ex-espace soviétique, ses exploitants et ses filiales ciblent des victimes dans le monde entier, à l’exception des pays russophones et de plusieurs autres où l’économie de marché empêche les victimes de payer (comme la Syrie). En moins d’un an, GandCrab est devenu le logiciel de ransomware le plus répandu au monde, représentant la moitié de toutes les infections à ransomware.
Un avantage clé de GandCrab par rapport aux autres familles de ransomware est son modèle de licence de ransomware en tant que service, dans lequel les distributeurs achètent et propagent le logiciel malveillant et répartissent les frais de déchiffrement avec le développeur d’origine. Les affiliés en conservent 60%, le reste revenant aux développeurs. Cette séparation des tâches permet aux développeurs d’améliorer le code et d’ajouter de nouvelles fonctionnalités (telles que les techniques de contournement de certains antivirus) et aux distributeurs de se concentrer sur la livraison et l’exploitation des victimes.
GandCrab propose également de nouvelles fonctionnalités, telles qu’un service de chat permettant aux victimes de contacter les affiliés pour négocier des remises, de prolonger le délai de paiement ou de demander de l’aide pour convertir de la monnaie fiduciaire en devise numérique.
En plus d’établir un lien avec la victime, le chat dispose d’un espace «secret» qui propose aux sociétés de récupération de données peu scrupuleuses de marquer le paiement d’une rançon en tant que «frais de récupération de données» pour le compte de leurs clients.
Toutes les victimes ne sont pas traitées de la même manière : GandCrab donne la priorité aux informations rachetées et établit des prix individuels par type de victime. Le déchiffrement d’un ordinateur coûte en moyenne entre 600 et 2 000 dollars, tandis qu’un déchiffrement de serveur coûte 10 000 dollars et plus. En aidant les victimes à déchiffrer leur données, nous avons vu des notes de rançon allant jusqu’à 700 000 dollars.
Les trois outils de déchiffrement publiés en collaboration avec nos partenaires – et en particulier le déchiffreur GandCrab pour la version 5.1 – ont obligé les affiliés de GandCrab à réduire leurs activités pour éviter des coûts inutiles. Par exemple, en février 2019, après la publication de notre déchiffreur pour la version 5.1, les affiliés ont continué à pousser les versions déchiffrables du logiciel malveillant pendant plus d’une semaine, permettant ainsi aux nouvelles victimes de déchiffrer leurs données gratuitement. En mars 2019, la part de marché de GandCrab avait été ramenée à 30%, près d’une infection sur trois étant liée au groupe.
 

Comment rester en sécurité

 
Le déchiffrement de ransomware est une question délicate, car les auteurs de programmes malveillants utilisent la même technologie que celle qui aide les personnes à protéger leurs transactions bancaires, leurs communications et leurs interactions en ligne. Le chiffrement est facile, mais le déchiffrement sans clé est presque impossible. Chaque mois, Bitdefender voit 12 nouvelles souches de ransomware, ce qui signifie que les cybercriminels lancent au total plus de 140 nouvelles familles par an. Près de 10% d’entre elles sont déchiffrables en exploitant les failles du code ou en établissant des partenariats avec des organismes répressifs officiels.
Lorsqu’il s’agit de ransomware, la prévention est la clé. Une fois que votre système est chiffré, les chances de déchiffrement sont minces, malgré les efforts de l’industrie pour récupérer vos données. Voici quelques conseils pour vous aider à prévenir les attaques de ransomware et à réduire les sommes d’argent qui vont dans la poche des cybercriminels :
1_ Utilisez une solution de sécurité. Si vous avez une solution de sécurité installée, assurez-vous que vous utilisez bien tout l’éventail des technologies disponibles pour vous protéger des attaques par ransomware. La détection comportementale, les heuristiques basées sur l’apprentissage automatique et la remédiation des ransomware sont des technologies clés pour détecter et bloquer les attaques. Si vous n’en avez pas, Bitdefender propose (entre autres) une solution de sécurité multi-plateforme primée hautement efficace.
2_ Faites des sauvegardes fréquentes sur des supports hors ligne. Les sauvegardes sont une solution extrêmement efficace contre la perte de données en cas de catastrophe. Faites l’acquisition d’un disque dur externe et sauvegardez méthodiquement vos données importantes à mesure que vous les créez. NE laissez PAS le lecteur connecté plus longtemps que nécessaire, car la plupart des ransomware chiffrent les informations relatives aux lecteurs connectés et aux partages réseau.
3_ Si tout échoue, ne payez pas la rançon. Les paiements de rançon permettent aux attaquants de prospérer et de développer des souches plus agressives. Si votre système est infecté, sauvegardez les données concernées et prévenez immédiatement la police. S’ils ne sont pas toujours en mesure de vous aider immédiatement, ils consignent l’incident et commencent à travailler avec leurs partenaires en cybersécurité publics et privés afin de trouver une solution.
Prêt à récupérer vos données? TÉLÉCHARGEZ L’OUTIL ICI.