Утилита, которая восстанавливает файлы, зашифрованные зловредом-вымогателем, разработана румынскими специалистами.
Специалисты по информационной безопасности из Румынии разработали и выложили в свободный доступ утилиту для расшифровки файлов, пострадавших от атаки зловреда GandCrab. Декриптор доступен на сайте NoMoreRansom, который собирает и систематизирует информацию о программах-вымогателях.
Приложение способно декодировать данные, зашифрованные любой из известных сегодня версий GandCrab. Для успешной работы ему необходим текст с требованием выкупа, который зловред оставляет на пораженном компьютере, и несколько файлов для тестового сеанса. Сообщение вымогателя содержит уникальный ID жертвы, который используется для расшифровки информации.
Румынская полиция и Департамент по борьбе с организованной преступностью оперативно отреагировали на появление декриптора и также разместили его на своих ресурсах. Европол опубликовал соответствующее коммюнике. Кроме того, источники в правоохранительных органах Румынии сообщили об арестах, произведенных в рамках расследования дела о распространении GandCrab. Количество подозреваемых и их национальность на данный момент неизвестны.
Вспышка эпидемии шифровальщика пришлась на конец января этого года. К середине февраля количество зараженных компьютеров достигло 30 тыс. Больше всего от атаки GandCrab пострадали пользователи в США, Бразилии, Индии и Пакистане. Существует как минимум два варианта программы — исследователи сообщают об .exe и .dll версиях вымогателя.
Зловред принципиально обходит стороной Россию и бывшие советские республики. Не так давно австралийский исследователь обнаружил рекламу шифровальщика на одном из русскоязычных форумов в даркнете. Создатели программы предлагают всем заинтересованным партнерскую схему с разделением доходов в пропорции 60/40. Киберпреступники обещают своим клиентам управление атакой через веб-панель и техническую поддержку. Авторы вымогателя даже создали видеоролик, который демонстрирует преимущества их продукта.
GandCrab является первым и пока единственным шифровальщиком, который требует выкуп в DASH. Исследователи связывают выбор такого способа оплаты с высоким уровнем приватности этой кибервалюты. Зловред предлагает жертве перечислить 1,54 DASH (около $900 на сегодняшний день) за декодирование файлов и удваивает сумму при несоблюдении сроков оплаты.