Бесплатная утилита для расшифровки файлов, закодированных зловредом GandCrab, выложена на сайте проекта NoMoreRansom, помогающего жертвам программ-вымогателей. Декриптор создали специалисты компании Bitdefender в сотрудничестве с аналитиками румынской полиции, Европола и ФБР. Приложение способно восстанавливать данные после атаки зловреда версий 1, 4 и 5, которые можно идентифицировать по расширениям зашифрованных файлов:

  • V1 — GDCB
  • V4 — KRAB
  • V5 — набор от 5 до 10 случайных символов

Для восстановления зашифрованных файлов утилите необходимо сообщение с требованием о выкупе, которое программа-вымогатель оставляет в каждой папке зараженного компьютера. Оно содержит информацию, на основе которой декриптор вычисляет ключ для декодирования информации. Также приложение требует наличия интернет-подключения, поскольку связывается с сервером разработчиков для генерации этого ключа.

Исследователи не раскрывают деталей работы программы, однако, по информации журналистов ZDNet, утилита использует бреши в механизме шифрования зловреда, а не является результатом взлома инфраструктуры GandCrab. Декриптор появился через несколько дней после публикации почти тысячи ключей для восстановления данных жертв из Сирии, которые авторы вымогателя обнародовали в ответ на жалобу одного из пострадавших.

Последние версии шифровальщика вышли в июле и сентябре этого года. На долю GandCrab v4 и v5 приходится наибольшее число недавних заражений. Таким образом, утилита поможет пользователям восстановить самую актуальную информацию. Специалисты просят жертв, пострадавших от атаки более ранних релизов зловреда, проявить терпение и дождаться выпуска следующего варианта декриптора.

Эксперты называют GandCrab самым распространенным шифровальщиком на сегодняшний день. Авторы вредоносной программы быстро реагируют на действия ИБ-специалистов, выпуская новые версии вымогателя. В августе этого года киберпреступники выложили в Сеть вариант скрипта, который помимо кодирования информации атаковал антивирусную программу AhnLab V3 Lite, вызывая сбой в ее работе. Это стало ответом злоумышленников на создание вакцины, которая защищала компьютер от нападения зловреда.

Специалисты не исключают, что в ближайшее время мы увидим новый релиз GandCrab, однако подчеркивают, что декриптор нанес серьезный удар по бизнесу злоумышленников. Вымогатель распространяется по принципу RaaS, его разработчики делят с партнерами полученный выкуп. Выпуск утилиты на время лишит дохода подписчиков сервиса.

Категории: Вредоносные программы, Главное, Кибероборона