Le rançon-logiciel GandCrab 3 – une nouvelle souche de l'infâme virus GandCrab

GandCrab 3 est un virus crypto-rançongiciel qui représente la troisième version du célèbre maliciel GandCrab. À la fin du mois d'avril 2018, seulement quelques mois après la sortie de GandCrab2, les pirates informatiques ont de nouveau frappé fort en ciblant plus particulièrement les utilisateurs de PC en Russie, en Bélarus, au Kazakhstan et en Ukraine. Il utilise le chiffrement AES-256 (CBC mode) + RSA-2048 pour coder en dur les fichiers personnels et les marquer ensuite avec l'extension de fichier .CRAB. Le fichier CRAB-DECRYPT.txt constitue la note de rançon qui comporte des directives claires sur la façon dont la victime doit payer la rançon. Seuls les Bitcoins sont acceptés.
| Nom | GandCrab 3 |
|---|---|
| Versions | GandCrab, GandCrab 2 |
| Catégorie | Rançongiciel |
| Extension de fichier | .CRAB |
| Note de rançon | CRAB-DECRYPT.txt |
| Principaux symptômes | Inaccessibilité des fichiers personnels, note de rançon créé sur le bureau, lenteur du PC, fond d'écran altéré, redirection du navigateur vers le site web de paiement |
| Les principaux dangers | Il corrompt le système et cause de graves pannes. Les fichiers personnels peuvent être définitivement supprimés. Perte financière. |
| La suppression manuelle de ce rançongiciel n'est pas possible. Pour le supprimer, il faut utiliser un anti-maliciel professionnel tel que FortectIntego | |
Très exactement à la fin du mois d'avril 2018, les experts en cyber-sécurité ont détecté un échantillon du rançongiciel V3. Sur le plan généalogique, ces prédécesseurs sont les versions de GandCrab et GandCrab2, lesquelles ont eu un très grand succès du point de vue des malfaiteurs. La première diffusion a permis de recueillir plus de 600 000 USD en moins de quatre mois.
Tandis qu'il était déjà possible de décrypter la première variante, ce n'est pas le cas pour la deuxième variante V2. L'outil de décryptage de GandCrab-3 n'est pas encore disponible.
Actuellement, on n'est pas encore sûr à 100 % des techniques de distribution que les cyber-criminels utilisent pour propager ce logiciel malveillant ou maliciel. Cependant, sur la base des informations reçues sur GandCrab, on peut penser aux méthodes suivantes :
- le kit d'exploit Magnitude ;
- le kit d'exploit Rig ;
- le kit d'exploit GrandSoft ;
- les campagnes publicitaires malveillantes ininterrompues ;
- le reçu Feb-21310 [chiffres aléatoires] en pièce jointe à un spam ;
- la fausse mise à jour de la police de caractère Hoefler;
- Hacked Remote Desktop Services (« piratage à distance »), etc.
Après l'encodage, le virus GandCrab 3 change la séquence de démarrage, élimine les clichés instantanés du volume (Volume Shadow Copies) en utilisant l'invite de commande et PowerShell comme administrateur, et déchiffre l'algorithme d'encodage AES-256 (mode CBC ) + RSA-2048. Le maliciel exécute le fichier random.exe en arrière plan du système. Il peut également pirater le fichier explorer.exe et forcer le redémarrage du système afin d'achever son encodage.
Tout comme la version précédente, il assigne l'extension de fichier .CRAB aux fichiers encodés. Il cible plus de 250 types de fichiers différents, y compris les plus populaires (.jpg, .png, .doc, .pdf, .avi, .docx, etc.). Dès que les fichiers sont cryptés, le virus génère une note de rançon intitulée CRAB-DECRYPT.txt. Cette stipule ceci :
—= GANDCRAB V3 =—
Attention !
Tous vos fichiers, documents, photos, bases de données et autres fichiers importants ont été cryptés et comportent l'extension de fichier : .CRAB
Le seul moyen de récupérer les fichiers est d'acheter une clé privée. Elle se trouve dans notre serveur et nous sommes les seuls à pouvoir restaurer vos fichiers.
Le serveur qui contient votre clé est dans le réseau fermé TOR. Vous pouvez y avoir accès de cette façon :
0.Télécharger le navigateur TOR – https://www.torproject.org/
1. Installez le navigateur Tor
2.Ouvrez le navigateur Tor
3. Ouvrez le lien qui se trouve dans le navigateur TOR :
4. Suivez les instructions de la page
Dans notre page, vous verrez des directives concernant le paiement et aurez l'occasion de faire décrypter un fichier gratuitement.
Une autre façon de nous contacter est d'utiliser Jabber Messenger. Lisez comment procéder :
0. Télecharger Psi-Plus Jabber Client: https://psi-im.org/download/
1. Ouvrir un nouveau compte : http://sj.ms/register.php
0) Entrer le « nom utilisateur « : 21b1a2d1729f0695
1) Entrer le « mot de passe « : votre mot de passe
2. Ajouter un nouveau compte dans Psi
3.Ajouter et inscrire l'identifiant Jabber : [email protected] pour n'importe quel message
4. Suivez les instructions du robot
ATTENTION !
Il s'agit d'un robot! C'est un système artificiel entièrement automatisé dépourvu de contrôle humain!
Pour nous contacter, utilisez les liens de TOR. Nous pouvons à tout moment vous présenter toutes les preuves qui démontrent de notre capacité à décrypter les fichiers. Lisez les instructions sur la manière d'installer et d'utiliser jabber ici : http://www.sfu.ca/jabber/Psi_Jabber_PC.pdf
AVERTISSEMENT!
N'essayez pas de modifier les fichiers ou d'utiliser votre propre clé privée. Cela entraînera des pertes irréversibles de données!
Contrairement aux deux précédentes versions qui utilisaient la crypto-monnaie DASH, GandCrab 3 exige que ses victimes payent la rançon en Bitcoins. En outre, les chercheurs en matière de logiciels malveillants ont découvert que GandCrab-3 vient de la Roumanie.
Si vous avez le moindre doute d'être infecté par le rançon-logiciel GandCrab 3, supprimez-le de votre système le plus tôt possible. Pour cela, nous vous recommandons d'utiliser les outils antivirus FortectIntego, SpyHunterCombo Cleaner ou MalwarebytesMalwarebytes. Tant que ce rançongiciel reste installé, vous ne pouvez en aucun cas récupérer vos fichiers sans payer la rançon.
Après la suppression de GandCrab-3, vous devriez essayer de restaurer vos fichiers verrouillés par l'extension de fichier .CRAB en utilisant les outils de récupération des données des tierces parties ou essayer d'activer une version précédente de Windows. Vous trouverez à la fin de cet article un guide complet sur la manière de récupérer les fichiers cryptés par GandCrab-3.

Les criminels utilisent plusieurs méthodes pour diffuser le maliciel
L'équipe de Bedynet.ru déclare que ce type de rançongiciel ne se contente pas d'utiliser une seule méthode de propagation. Il est difficile de donner la liste complète des techniques précises, bien qu'ils aient aussi utilisé les méthodes de distribution classique.
Néanmoins, les utilisateurs doivent se méfier du reçu en pièce jointe intitulé Receipt Feb-21310 [ chiffres aléatoires ] envoyé par un [nom aléatoire ]@cdkconstruction.org. Aussitôt que vous remarquez un courriel suspect envoyé par un expéditeur inconnu, nous vous recommandons vivement de signaler cela comme un pourriel ou spam immédiatement.
Les kits d'exploit notamment Magnitude, RIG, et GrandSoft sont très connus pour être des vecteurs de rançongiciel. Pour empêcher que les logiciels malveillants exploitent les failles de votre PC, installez toutes les mises à jour et les correctifs du système.
Enfin, le dernier point mais non le moindre, méfiez-vous des téléchargement gratuits sur Internet. On a constaté que plusieurs sites douteux et illégaux contiennent des faux téléchargements de mises à jour logicielles. L'un des exemples utilisés pour diffuser l'ancêtre de ce rançon-logiciel est la fausse police de caractères Hoefler. La potentielle victime est redirigée vers un site Web piraté, qui affiche des textes brouillés ainsi qu'une fenêtre intruse qui pressent les utilisateurs de télécharger la dernière mise à jour de police de caractères afin de pouvoir voir le contenu.
Les différentes méthodes de suppression de GandCrab-3
Il n'existe qu'une seule solution pour supprimer le rançon-logiciel GandCrab 3 du système. Et c'est la méthode automatique qui requiert l'utilisation d'un programme anti-maliciel professionnel. La suppression manuelle, lorsque vous l'effectuez vous-même, est quasiment impossible, sauf si vous vous souciez peu d'endommager le système et les fichiers cryptés de manière irréversible.
Nous vous recommandons plutôt vivement d'utiliser un programme de sécurité professionnel, tel que FortectIntego. Après la suppression de ce virus, essayez de récupérer vos fichiers à l'aide des méthodes de récupération des données présentées ci-dessous.
Ce guide vous a-t-il été utile ?
Soyez le premier à commenter