1657
Accueil Rançongiciel GandCrab Ransomware ajoute l'extension GDBC | GandCrab guide de suppression
GandCrab Ransomware ajoute l'extension GDBC | GandCrab guide de suppression GandCrab Ransomware ajoute l'extension GDBC | GandCrab guide de suppression
Rançongiciel | 03/22/2018

GandCrab Ransomware ajoute l'extension GDBC | GandCrab guide de suppression


Le ransomware GandCrab est un dangereux virus qui aligne l’extension GDCB aux fichiers infectés. Le système de la victime est également modifié et les logiciels malveillants supplémentaires peuvent être institués en eux.

C’est quoi GandCrab ransomware ?

Le virus GandCrab est un ransomware conçu pour crypter des photos personnelles, des documents, et de la musique trouvés dans le système d’un PC infecté utilisant un algorithme de cryptage sophistiqué  avec une clé brutale, ajoutant l’extension GDCB pour tous les fichiers cryptés. Une fois que le traitement du cryptage soit effectué, il affichera un message de demande de rançon offrant un décryptage de toutes les photos de l’utilisateur, ses documents et musique si le paiement est effectué.

GandCrab est la plus récente variante des virus cryptographiques (logiciel malveillant qui crypte des fichiers personnels et demande une rançon). Il a la capacité d’affecter toutes les versions du système d’exploitation Microsoft Windows comme Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10.

Immédiatement après le lancement, le logiciel de rançon GandCrab analyse tous les disques disponibles, inclus le réseau et les stockages cloud pour déterminer les fichiers à crypter. Ce virus utilise le fichier nommé extension pour matraquer un groupe de fichiers qui sera soumis au cryptage.

Les uniques fonctionnalités et symptômes - GandCrab présente d’intéressantes  fonctionnalités sans précédentes dans un ransomware tel qu’être le premier à accepter la monnaie DASH et le premier aussi à utiliser le Namecoin powered BIT tld.

Cela signifie que tout logiciel qui souhaiterait résoudre un nom de domaine se servant du BIT TLD doit utiliser un serveur DNS qui le supporterait. GandCrab y parvient en faisant des demandes DNS en utilisant le serveur a.dnspod.com qui est accessible sur internet et qui peut aussi servir à résoudre les domaines bit.

GandCrab se sert de ces domaines bit comme des adresses pour ses propres serveurs de commande et de contrôle. De manière intéressante, les serveurs de domaines utilisés par ce ransomware contiennent des noms de  que vous pourrez reconnaitre. Les victimes sauront qu’une large portion de leurs données est entrain d’être cryptée et renommée par un puissant chiffreur utilisant un modèle d’extension. L’utilisateur infecté expérimente également des problèmes de performance substantiels, des défaillances d’application et autres types de dommages.

 

GandCrab est distribué grâce à la plate-forme de l’Exploit kit

Selon les recherches Nao-sec et Brad Duncan du kit Exploit, Gand Crab est actuellement commercialisé grâce à une campagne de publicité malveillante nommée Seamless qui redirige les visiteurs vers la plate-forme du matériel d’exploitation. Le matériel d’exploitation  effectuera de puissants effets pour maximiser les vulnérabilités dans le logiciel du visiteur pour installer Gand Crab sans son approbation.

 

Comment GandCrab crypte-t-il un ordinateur ?

Lorsque GandCrab est lancé en premier lieu, il tentera de se connecter au serveur de contrôle et de commande du logiciel de rançon. Comme ce serveur est hébergé sur l’un des domaines de Namecoin, il doit demander un nom de serveur qui supporterait ce TLD. Il le fait en interrogeant des adresses  des domaines qui suivent en se servant de la commande nslookup [insert domain] a.dnspod.com. Cette commande s’interroge sur le nom du serveur a.dnspod.com qui supporte le bit TLD.

Si la machine de la victime échoue lors de sa connexion au serveur C2, le ransomware ne cryptera pas l’ordinateur. Il continuera bien d’exécuter en arrière-plan en essayant d’acquérir l’adresse IP du C2 pour se reconnecter. Une fois qu’il soit en mesure de résoudre le domaine, il se reconnectera à l’adresse IP du serveur C2. Cette fois-ci, on ne sait pas quelles données ont été envoyées ou récupérées mais le C2 est probablement entrain d’envoyer la clé publique qui devrait servir à crypter les fichiers. Durant ce processus, le logiciel de rançon se connectera également sur http://ipv4bot.whatismyipaddress.com/ pour déterminer la clé publique de la victime.

Avant que GandCrab ne crypte les fichiers de la victime, il vérifiera en premier certains traitements et les terminer. Cela fermera tout fichier ouvert par ces traitements, et ainsi ils pourront être cryptés comme il le faudra. Selon le chercheur de sécurité Vitali Kremez, la liste de traitements terminés est :

GandCrab une fois qu’il infiltre l’ordinateur de la victime, il commence maintenant à crypter les fichiers de ladite victime et cible uniquement certaines extensions de fichiers.

Lors du cryptage des fichiers, l’analyse de Kremez montrait que GandCrab sautera les fichiers dont le chemin d'accès complet contiendrait certaines suites.

Lorsque le ransomware est entrain de crypter les fichiers, il (ransomware) ajoutera l’extension GDCB sur le nom du fichier crypté. Par exemple, test.jpg pourrait être crypté et renommé en test.jpg.GDCB.

A un certain moment, le logiciel de rançon se relancera lui-même en utilisant la commande « C:\Windows\system32\wbem\wmic.exe »  appel de processus créer « cmd/c start %Temp%\ [Launched_file_name].exe ». Si un utilisateur ne répond pas OUI sur l’invitation en dessous, il affichera continuellement l’invitation UAC.

Quand le ransomware aura fini de crypter l’ordinateur, les victimes trouveront des notes de rançon installées grâce à l’ordinateur. Cette note de rançon est appelée GDCB-DECRYPT.txt et contient toutes les informations vitales sur ce qui est arrivé aux fichiers de la victime et une liste de passerelles TOR pouvant servir d’accès au site de paiement.

Lorsqu’un utilisateur va sur le site répertorié, il se présentera sur un site appelé GandCrab Decryptor. Ce site  fournit des informations comme le montant de la rançon, l’adresse DASH où envoyer le paiement, un support de discussion et un décryptage gratuit d’un fichier.

 

Les mesures préventives du logiciel de rançon (ransomware) GandCrab :

Pour vous protéger des ransomwares, il est important de pratiquer quelques bonnes habitudes informatiques et de logiciels de sécurité.

  1. L’étape la plus importante à suivre est d’avoir une sauvegarde fiable et testée de vos données pouvant être restaurées en cas d’urgence, comme une attaque de ransomware. Avec une bonne sauvegarde, les logiciels de rançon n’auront pas d’effets sur vous.

  2. Vous devez aussi avoir un logiciel de sécurité qui intègre des détections comportementales pour combattre les ransomwares  et pas seulement des détections de signatures ou heuristiques. Par exemple, Emsisoft Anti-Malware and Malwarebytes Anti-Malware contiennent tous les deux des détections comportementales pouvant prévenir beaucoup ou sinon plus d’infections de ransomware de crypter votre ordinateur.

  3. Analyser les pièces jointes avec les outils comme VirusTotal

  4. Assurez-vous que toutes les mises à jour Windows ont été installées dès qu’elles paraissent. Assurez-vous également que vous avez mis à jour tous vos programmes, spécialement Java, Flash et Adobe Reader. Les programmes plus anciens contiennent des vulnérabilités de sécurité couramment exploitées par les distributeurs de logiciels malveillants et les matériels d’exploitation. Donc, il est important de les mettre à jour.

  5. Assurez-vous d’avoir quelques genres de logiciels de sécurité installés qui utilisent des détections comportementales ou une technologie de liste blanche. Faire une liste blanche peut être une peine à entrainer mais si vous êtes prêt à stocker avec, cela aurait une plus grande récompense.

  6. Utiliser des mots de passes durs et ne jamais se servir d’eux dans plusieurs sites.

  7. Ne pas ouvrir les pièces jointes si vous ne connaissez pas les expéditeurs.

  8. Ne pas ouvrir les pièces jointes jusqu’à ce que vous confirmiez l’identité et la certitude de la personne expéditrice.

Conseils pour empêcher tout virus ou logiciel malveillant d’infecter votre système :
  1. Activez votre Bloqueur d’Annonces : l’affichage de pop-ups intempestives et de publicités sur les sites Web constituent la tactique la plus facile à adopter par les cybercriminels ou les développeurs pour propager des programmes malveillants. Donc, évitez de cliquer sur des sites non fiables, des offres etc. et installez un puissant Bloqueur d’Annonces pour   ChromeMozilla, and   Internet Explorer.
  2. Mettre à jour Windows : Pour éviter de telles infections, nous vous recommandons de toujours mettre à jour votre système via la mise à jour automatique de Windows. En faisant cela, votre appareil sera sans virus. Selon le sondage, les versions obsolètes ou anciennes du système d'exploitation Windows constituent des cibles faciles.
  3. Programme d’installation tiers : Essayez d’éviter les sites Web de téléchargement gratuit car ils installent habituellement un ensemble de logiciels avec n’importe quel programme d’installation ou fichier de raccord.
  4. Une Sauvegarde régulière : Une sauvegarde régulière et périodique vous aide à protéger vos données si le système est infecté par un virus ou toute autre infection. Cependant, sauvegardez toujours les fichiers importants régulièrement sur un lecteur cloud ou un disque dur externe.
  5. Toujours avoir un Antivirus : il vaut mieux prévenir que guérir. Nous vous recommandons d’installer un antivirus comme  ITL Total Security ou un puissant Outil de suppression de logiciels malveillants comme l’ Outil de suppression gratuit de virus  pour vous débarrasser de toute menace.

Derniers rapports de menaces

Voir plus de rapports

newsletter

×
×

(0) commentaire (s)

Soyez le premier à commenter
#include file="../statichtml/static_notification.html"

1

ITLSecureVPN_setup.exe
2

3

1

2

3

1

2

3