GandCrab ランサムウェア: 完全ガイド

GandCrab は、2018 年初頭にサイバーセキュリティ界で初めて確認されたランサムウェアの亜種です。ランサムウェア攻撃には、被害者のシステム上のファイルが暗号化され、復号キーの身代金の支払いを強要されます。このランサムウェアは、幅広い種類のファイルをターゲットにすることで知られており、被害者はさまざまなファイルに事実上アクセスできなくなります。 GandCrab は、個人、企業、さらには政府組織にまで影響を与える、さまざまな注目を集める攻撃に関与しているとされています。動的かつ進化する脅威として、GandCrab は出現以来、複数のバージョンと更新を経てきました。これらのアップデートでは新しい機能と回避テクニックが導入され、開発者のセキュリティ対策への適応力が示されています。この絶え間ない進化は、ランサムウェアと効果的に戦うことを目的としたサイバーセキュリティの取り組みに課題をもたらしています。

SalvageData の専門家は、ランサムウェア攻撃から保護するために、定期的なバックアップ、強力なサイバーセキュリティの実践、ソフトウェアを最新の状態に保つなど、プロアクティブなデータセキュリティ対策を推奨しています。そして、ランサムウェア攻撃の場合は、ただちに当社のランサムウェア回復専門家にご連絡ください。

GandCrab は、GandCrab V2.0、GandCrab 3、GandCrab V5.0、GandCrab 5.0.2、GandCrab V5.0.3、GandCrab 5.0.4、GandCrab 5.0.5、GandCrab 5.0.7、GandCrab 5.0.8、GandCrab 5.0.9、GandCrab などのいくつかのバージョンに進化しました。 5.1.0、GandCrab 5.1.4、GandCrab 5.1.5、および GandCrab V5.1.6。バージョンは多様ですが、基本的な動作は一貫しています。主な違いには、暗号化されたファイルに追加されるファイル拡張子、身代金メッセージの内容、Web サイトのデザイン、身代金の金額、使用される暗号通貨ウォレットが含まれます。これらの微妙な違いは、GandCrab ランサムウェアファミリ内の各反復を識別して区別するのに役立ちます。確認済みの名前

GandCrab ウイルス

脅威の種類

ランサムウェア
クリプトウイルス
ファイルロッカー
二重恐喝

利用可能な無料の復号化ツールはありますか?がある一部の GandCrab ランサムウェア亜種の復号化ツール(V1、V4、V5)。これらの亜種は、ファイル拡張子によって識別できます。

.GDCB
.GDCB
。カニ
.KRAB
.UKCZA
.YIAQDG
.CQXGPMKNR
.HHFEHIOL

配布方法

フィッシングメール
脆弱性の悪用
リモートデスクトッププロトコル (RDP) の弱いパスワードまたはデフォルトのパスワード

結果

ファイルは暗号化され、身代金の支払いまでロックされます
データ漏洩
二重恐喝

GandCrab ランサムウェア IOC とは何ですか

侵害の痕跡 (IOC) は、サイバーセキュリティの専門家がネットワークまたは IT 環境内のシステム侵害や悪意のある活動を特定するために使用するデジタル手がかりです。 IOC が検出されると、セキュリティチームは考えられる脅威を評価するか、その信頼性を検証します。 IOC は、攻撃者が実際にネットワークに侵入した場合に何にアクセスしたかの証拠も提供します。IOC は基本的に、犯罪現場に残された証拠のデジタルバージョンであり、潜在的な IOC には、異常なネットワークトラフィック、外国からの特権ユーザーのログイン、奇妙な DNS リクエスト、システムファイルの変更などが含まれます。GandCrab 固有の IOC には次のものが含まれます: ファイルパスと名前

%Application Data%Microsoft{ランダムな 6 文字}.exe

レジストリエントリ:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
{ランダムな 11 文字} = %Application Data%Microsoft{ランダムな 6 文字}.exe

接続されている URL/IP

Ipv4bot.whatismyipaddress.com
{ドメインのIPアドレス}/curl.php?token=1019
{BLOCKED}ransom.bit、{BLOCKED}ngcomputer.bit、{BLOCKED}ft.bit、{BLOCKED}d32.bit、{BLOCKED}ab.bit

身代金メモ

身代金メモは {暗号化されたフォルダー}GDCB-DECRYPT.txt としてドロップされました

GandCrab ランサムウェアの暗号化されたファイル拡張子:

GandCrab ギャングには多くのバージョンのマルウェアがあり、各バージョンには独自の拡張子と、暗号化されたファイルの名前を変更するシステムがあります。バージョン 1:

ファイル拡張子: .GDCB
次で始まります: —= GANDCRAB =—
拡張子: .GDCB

バージョン 2:

ファイル拡張子: .GDCB
次で始まります: —= GANDCRAB =—
拡張子: .GDCB

バージョン 3:

ファイル拡張子: .CRAB
次で始まります: —= GANDCRAB V3 =—
拡張子: .CRAB

バージョン 4:

ファイル拡張子: .KRAB
次で始まります: —= GANDCRAB V4 =—
拡張子: .KRAB

バージョン5:

ファイル拡張子: .([A-Z]+)
始まり: —= GANDCRAB V5.0 =—
拡張子: .UKCZA

バージョン5.0.1:

ファイル拡張子: .([A-Z]+)
次から始まります: —= GANDCRAB V5.0.1 =—
拡張子: .YIAQDG

バージョン5.0.2:

ファイル拡張子: .([A-Z]+)
次から始まります: —= GANDCRAB V5.0.2 =—
拡張子: .CQXGPMKNR

バージョン5.0.3:

ファイル拡張子: .([A-Z]+)
次から始まります: —= GANDCRAB V5.0.3 =—
拡張子: .HHFEHIOL

バージョン5.0.4:

ファイル拡張子: .([A-Z]+)
次から始まります: —= GANDCRAB V5.0.4 =—
拡張子: .BYACZCZI

バージョン5.0.5:

ファイル拡張子: .([A-Z]+)
次から始まります: —= GANDCRAB V5.0.5 =—
拡張子: .KZZXVWMLI

バージョン5.1:

ファイル拡張子: .([A-Z]+)
始まり: —= GANDCRAB V5.1 =—
拡張子: .IJDHRQJD

GandCrabの身代金メモ

身代金メモの実際の内容は GandCrab のバージョンによって異なる場合があり、攻撃者がメッセージをカスタマイズする可能性があることに注意してください。ドロップされたメモには通常、被害者に対する身代金の支払い方法と復号キーの取得方法に関する指示が含まれています。以下は、GandCrab の身代金メモの例です。

自分がランサムウェアの被害者であることに気付いた場合は、SalvageData ランサムウェア除去専門家に連絡すると、安全なデータ回復サービスと攻撃後のランサムウェア除去を提供します。

GandCrab ランサムウェアの仕組み

GandCrab ランサムウェアは、さまざまなテクニックを活用して一連の手順を実行して、侵入し、ファイルを暗号化し、身代金を要求します。GandCrab が通常どのように動作するかの概要は次のとおりです。

感染と出産

GandCrab は、多くの場合、悪意のある電子メールの添付ファイル、侵害された Web サイト上のエクスプロイトキットを通じて、または他のマルウェアによってドロップされるペイロードとして配信されます。ペイロードとは、サイバー攻撃内の悪意のあるコンポーネントまたはコードを指し、通常は標的のシステム上で有害なアクションを実行するように設計されています。 GandCrab ランサムウェアのペイロードは、悪意のある実行可能ファイルで構成されており、多くの場合、電子メールの添付ファイルや脆弱性を悪用して配信されます。システムが感染すると、GandCrab は被害者のマシンの特定の場所に自身のコピーを作成する可能性があります。

さらに読む:LockBit Green ランサムウェア: 完全ガイド

自動起動と永続性

システムが起動するたびに GandCrab が実行されるようにするために、GandCrab は Windows レジストリを変更し、自動実行を可能にするエントリを追加します。

回避

GandCrab は、セキュリティソフトウェアによる検出や研究者による分析を回避するために、さまざまな回避手法を採用しています。被害者のシステム上で実行されているウイルス対策ソフトウェアやセキュリティソフトウェアに関連する特定のプロセスを終了させる可能性があります。

コマンドアンドコントロール (C2) サーバーとの通信

GandCrab は、攻撃者が制御するリモートサーバーと通信します。この通信は、感染したシステムに関する情報を送信し、場合によってはさらなる指示を受け取るために使用されます。

ファイルの暗号化

GandCrab は、RSA や Salsa20 などの強力な暗号化アルゴリズムを使用して、被害者のシステム上の幅広いファイルを識別して暗号化し、被害者のシステム上のファイルを暗号化します。暗号化されたファイルに特定のファイル拡張子 (GDCB など) を追加し、ファイルにアクセスできないことを示します。

身代金メモの投下

暗号化プロセスが完了すると、GandCrab は影響を受ける各フォルダーに身代金メモをドロップします。通常、このメモには、復号キーを取得するために身代金を支払う方法に関する指示が含まれています。身代金メモには、身代金の金額、支払い期限、支払い用の暗号通貨ウォレットのアドレスなどの詳細も含まれる場合があります。被害者は、復号キーを取得するために、暗号通貨 (通常はビットコイン) で身代金を支払うように指示されます。GandCrab 開発者は、復号キーを永久に削除するか、身代金を増額すると脅すことがよくあります。被害者が支払いを遅らせた場合の金額。

GandCrab ランサムウェア攻撃に対処する方法

GandCrab 攻撃から回復するための最初のステップは、感染したコンピュータをインターネットから切断し、接続されているデバイスをすべて削除して隔離することです。その後、地方自治体に連絡する必要があります。米国居住者および企業の場合は、FBIそしてインターネット犯罪苦情センター (IC3)ランサムウェア攻撃を報告するには、次のようなランサムウェア攻撃に関するあらゆる情報を収集する必要があります。

身代金メモのスクリーンショット
脅威アクターとの通信 (存在する場合)
暗号化されたファイルのサンプル

ただし、ご希望の場合は、専門家に連絡する、その後は何もしません。感染したすべてのマシンをそのままにしておくそして、緊急ランサムウェア駆除サービス。システムを再起動またはシャットダウンすると、回復サービスが損なわれる可能性があります。ライブシステムの RAM をキャプチャすると、暗号化キーの取得に役立つ場合があります。また、ドロッパーファイル、つまり、悪意のあるペイロード (ターゲットシステム上で不正なアクションを実行するソフトウェアコードまたはプログラム) を実行するファイルをキャッチすると、リバースエンジニアリングされて、データの復号化やデータの動作の理解につながる可能性があります。ランサムウェアを削除しない、攻撃のあらゆる証拠を保管します。それは重要ですデジタルフォレンジックそのため、専門家はハッカーグループを追跡して特定することができます。当局は感染したシステム上のデータを使用して、攻撃を調査し、犯人を見つけます。サイバー攻撃の捜査は他の犯罪捜査と変わりません。攻撃者を見つけるには証拠が必要です。

1. インシデント対応プロバイダーに連絡します

サイバーインシデント対応は、サイバーセキュリティインシデントに対応し、管理するプロセスです。インシデント対応リテイナーは、組織がサイバーセキュリティインシデントに関して外部の支援を受けることを可能にするサイバーセキュリティプロバイダーとのサービス契約です。セキュリティパートナーを通じて組織に体系化された専門知識とサポートを提供し、サイバーインシデント発生時に迅速かつ効果的に対応できるようにします。インシデントレスポンスリテイナーは、サイバーセキュリティインシデントの前後に専門家によるサポートを提供し、組織に安心感をもたらします。インシデント対応リテイナーの具体的な性質と構造は、プロバイダーと組織の要件によって異なります。優れたインシデント対応リテイナーは、堅牢でありながら柔軟性があり、組織の長期的なセキュリティ体制を強化する実証済みのサービスを提供する必要があります。IR サービスプロバイダーに連絡すると、すぐに引き継ぎ、ランサムウェア回復のすべての手順を案内します。ただし、ランサムウェアを自分で削除し、IT チームと一緒にファイルを回復することにした場合は、次の手順に従うことができます。

2. ランサムウェア感染を特定する

マシンに感染したランサムウェアを特定するには、ファイル拡張子を確認します (一部のランサムウェアはファイル拡張子を名前として使用します)。ランサムウェア ID ツールを使用する、または身代金メモに記載されます。この情報を使用して、公開復号キーを探すことができます。 IOC によってランサムウェアの種類を確認することもできます。

3. ランサムウェアを削除し、エクスプロイトキットを排除する

データを回復する前に、デバイスにランサムウェアが存在しないこと、および攻撃者がエクスプロイトキットやその他の脆弱性を利用して新たな攻撃を行うことができないことを保証する必要があります。ランサムウェア削除サービスは、ランサムウェアの削除、調査のためのフォレンジック文書の作成、脆弱性の排除、データの回復を行うことができます。

4. バックアップを使用してデータを復元する

データ回復のためのバックアップの重要性は、特にデータの整合性に対するさまざまな潜在的なリスクや脅威を考慮すると、いくら強調してもしすぎることはありません。バックアップは、包括的なデータ保護戦略の重要な要素です。これらは、さまざまな脅威から回復する手段を提供し、運用の継続性を確保し、貴重な情報を保存します。悪意のあるソフトウェアがデータを暗号化し、その解放に対する支払いを要求するランサムウェア攻撃に直面した場合、バックアップがあれば、攻撃者の要求に屈することなく情報を復元できます。バックアップ手順を定期的にテストして更新し、潜在的なデータ損失シナリオに対する保護の有効性を高めるようにしてください。バックアップを作成するにはいくつかの方法があるため、適切なバックアップメディアを選択し、データの少なくとも 1 つのコピーをオフサイトおよびオフラインに保存する必要があります。

5. ランサムウェア回復サービスに連絡する

バックアップがない場合、またはランサムウェアの削除や脆弱性の排除に支援が必要な場合は、データ復旧サービスにお問い合わせください。身代金を支払ったからといって、データが返されるとは限りません。すべてのファイルを確実に復元できる唯一の方法は、バックアップがある場合です。そうでない場合は、ランサムウェアデータ回復サービスがファイルの復号化と回復に役立ちます。SalvageData の専門家がファイルを安全に復元し、GandCrab ランサムウェアによるネットワークの再攻撃を防ぐことができます。回復専門家に 24 時間年中無休でご連絡ください。