Decryptietool die ransomware GandCrab neutraliseert vrijgegeven

Er is een nieuwe decryptietool vrijgegeven die de meest recente incarnaties van de bestandsvergrendeling malware GandCrab 5.0 tot en met GandCrab 5.2 neutraliseert. De GandCrab-decryptor stelt gebruikers in staat bestanden terug te halen die zijn gecodeerd door oudere versies van de ransomware.

De tool is vrijgegeven door Bitdefender in samenwerking met Europol, de Roemeense politie, DIICOT, de FBI, de Britse National Crime Agency en Metropolitan Police. Bovendien werken ook politiediensten in heel Europa mee. Het programma is beschikbaar om te downloaden vanaf zowel Bitdefender Labs als het No More Ransom-project. Het laatste betreft een gezamenlijk plan van een groot aantal cyberbeveiligingsbedrijven, overheden en wetshandhavingsinstanties. Zij bieden gratis decryptietools voor veel verschillende vormen van ransomware.

‘Zeer agressieve ransomware’

Sinds GandCrab voor het eerste verscheen in 2018 zijn er meer dan 1,5 miljoen Windows-gebruikers geïnfecteerd met de ransomware, aldus ZDnet. Zowel thuis- als bedrijfsnetwerken zijn het slachtoffer geworden van GandCrab-aanvallen. Iets wat Europol beschrijft als ‘een van de meest agressieve vormen van ransomware’. Het afgelopen jaar zijn er dan ook verschillende gratis decryptietools vrijgegeven om GandCrab te bestrijden. Deze decryptietools zouden meer dan 30.000 potentiële slachtoffers hebben beschermd. Hierdoor werd een totaal van 50 miljoen dollar aan te betalen losgeld voorkomen.

De makers van GandCrab kondigden onlangs aan te stoppen met de ransomware-aanvallen. Ze beweren meer dan 2 miljard dollar te hebben buitgemaakt van slachtoffers, die hebben betaald om de decoderingssleutel te ontvangen. Dit gezien dit in hun ogen de enige manier was om hun bestanden terug te krijgen. Al zien onderzoekers het genoemde buitgemaakte bedrag als zeer overdreven.

Gevaar niet geweken

Toch betekent het uitschakelen van de bewerking door de cybercriminelen niet dat GandCrab niet langer winstgevend is. De ransomware kan nog steeds problemen veroorzaken voor slachtoffers. Zodra GandCrab-operaties zijn gestopt, betekent dit dat zelfs áls slachtoffers losgeld betalen, ze hun bestanden niet terug krijgen.

“Het GandCrab-team heeft gelieerde bedrijven weerhouden toegang te krijgen tot nieuwe versies van de malware en heeft hen opgeroepen zich voor te bereiden op een dreigende shutdown. Het afsluiten zal worden gevolgd door het verwijderen van alle sleutels. Hierdoor zijn de slachtoffers niet in staat om de gelicentieerde gegevens op te halen. Zelfs als ze wel het losgeld betalen”, zegt Bogdan Botezatu, directeur van dreigingsonderzoek en rapportage bij Bitdefender.

Cybersecurity-bedrijven en wetshandhavingsinstanties waarschuwen dat slachtoffers niet moeten toegeven aan de eisen van aanvallers. Niet alleen financiert het misdaad, maar aanvallers kunnen degenen die betalen als zachte doelen labelen en op een later tijdstip opnieuw aanvallen. Software en applicaties moeten dus altijd gepatcht en up-to-date zijn om te voorkomen dat aanvallers misbruik maken van bekende kwetsbaarheden.

Gerelateerd: Criminelen achter GrandCrab-ransomware gaan rentenieren op miljoenenwinst