Эксперты ФБР выложили мастер-ключи для расшифровки данных после атак вымогателя GandCrab. По их замыслу, материалы помогут ИБ-специалистам создавать собственные декрипторы для пораженных зловредом файлов.

Как напомнили представители ФБР, в июне этого года правоохранительные органы нескольких стран вместе с экспертами ИБ-компаний выпустили декриптор для всех существующих версий GandCrab. Утилиту опубликовали вскоре после заявления создателей шифровальщика о прекращении деятельности, в котором злоумышленники также пригрозили через месяц удалить все сохраненные ключи.

С появлением декриптора жертвы GandCrab получили возможность вернуть свои данные без сделок с преступниками. Дальнейшая работа ИБ-исследователей позволила подобрать мастер-ключи, работающие со всеми версиями вымогателя, которые выходили с июля 2018 года.

Краткая история GandCrab

По данным ФБР, в середине 2018-го, через полгода после первых атак, вымогатель занимал половину сегмента рынка шифровальщиков, а в 2018-2019 годах GandCrab — самый популярный зловред в сфере Ransomware-as-a-Service.

Аналитики «Лаборатории Касперского» рассказывали, что операторы зловреда рассылают его по электронной почте под видом романтических сообщений. Жертвы получали вредоносный архив как вложение к письмам с темами вроде «Мое любовное послание к тебе», «Люблю тебя» и «Думаю о тебе».

Злоумышленники также маскировали шифровальщик под план эвакуации и картинки с Марио, встраивали в скомпрометированные интернет-сервисы. Всего жертвами вымогателя стали 500 тыс. человек по всему миру, а материальные потери превысили 300 млн долларов.

Зловреды-вымогатели сегодня

Уход GandCrab с рынка не уменьшает угрозу шифровальщиков для пользователей — по данным аналитиков Kaspersky, авторы вымогателей активно пополняют арсенал. В частности, именно к этому классу относится первый зловред, обнаруженный в 2019 году. Кроме того, с течением времени появляется все больше шифровальщиков, которые атакуют конкретный тип целей, таких как LockerGoga, бьющий по промышленным предприятиям, или ech0raix, который ищет уязвимые сетевые хранилища QNAP.

Специалисты призывают пользователей применять современные средства защиты, основанные на технологиях поведенческого анализа и машинного обучения. Как рассказывают аналитики «Лаборатории Касперского», именно такие системы сейчас блокируют основную часть нежелательной активности, в то время как эффективность фильтрации по сигнатурам показывает отрицательную динамику.

Категории: Вредоносные программы, Главное, Кибероборона