Verfasst von Antivirus am 14. August 2019
unterDen gefährlichen Verschlüsselungstrojaner GandCrab gibt es nun schon seit einiger Zeit. Die Erpressungssoftware ist aber in der aktuellen Version 5.2 immer noch sehr verbreitet. GandCrab verwendet nicht nur verschiedene Formen der Verteilung, die Ransomware zerstört auch etliche Dateien und versieht sie mit einer Verschlüsselung.
Cracks für bekannte Software
Der Trojaner infiziert Windows-Computer nicht wie üblich über infizierte Word-Dokumente, die als Rechnungen getarnt und an betrügerische E-Mails angehängt werden. GandCrab versteckt sich seit einiger Zeit hinter Software-Cracks. Mit solchen Cracks kann man den Kopierschutz kostenpflichtiger Software umgehen und diese dann anschließend illegal nutzen. Wer allerdings mit GandCrab infizierte Cracks ausführt, holt sich die Ransomware auf seinen eigenen PC. Zur Verbreitung werden Webseiten eingerichtet, auf denen solche Cracks beworben werden. Potenzielle Opfer kommen in der Regel über eine Internetsuche auf die Crack-Seiten.
So gefährlich ist GandCrab
Neben lokalen Dateien soll GandCrab auch Netzwerkfreigaben durchforsten und diese verschlüsseln. Hierzu muss die aktuelle Version nicht mal mit dem Kontrollserver des Angreifers verbunden sein, sondern kann dies auch ohne Internetverbindung machen. Nachdem der Virus mit den Daten fertig ist, sind diese unbrauchbar und die infizierten Dateien haben die Dateiendung ".gdcb", ".crab" oder ".krab".
Anschließend fordert die Software zur Zahlung eines Lösegelds auf, welches sich nach einer gewissen Zeitspanne erhöht. Der geforderte Preis variiert ja nach Zielgruppe und beträgt auch schon mal 2.000 US-Dollar und mehr.
Unternehmen als weitere Opfergruppe
Neben Cracks für Privatanwender zielt GandCrab auch auf Unternehmen ab, und versucht, sie über den Anhang einer Bewerbungs-E-Mail zu infizieren. Die verantwortllichen Personal-Mitarbeiter sollten sicherstellen, dass sie Anlagen zu Bewerbungen nicht öffnen, ohne sie zu überprüfen.
Meist befindet sich im Anhang der Mail in ZIP-Archiv, welches neben dem Bild des "Bewerbers" auch eine EXE-Datei beinhaltet. Diese Datei darf unter keinen Umständen ausgeführt werden, andernfalls ist der Computer infiziert und GandCrab verschlüsselt die Dateien auf dem Computer. Die Erpresser wollen dann den Schlüssel zur Wiederherstellung erst nach Zahlung eines Lösegeldes herausgeben.
Ransomware für verzweifelte Romantiker
Weitere Verbreitungswege sind "schöne" Liebeserklärungen per E-Mail. Diese mögen vor allem für verzweifelte und liebesbedürftige Menschen besonders attraktiv erscheinen, aber "Mein persönlicher Liebesbrief an dich", "Ich habe mich in dich verliebt" oder "Meine Gefühle für dich" kündigen eher eine mögliche Katastrophe an. Wie bei jeder anderen E-Mail sollte man im Vorfeld sorgfältig überlegen, ob man die Nachricht wirklich öffnen sollte.
Die häufigsten Varianten solcher E-Mails, beginnen immer mit einem romantischen Satz in der Betreffzeile, einem Herzsymbol im Text und enthalten wieder eine angehängte ZIP-Datei.
GandCrab-Daten mit Decryptor wiederherstellen
Von Bitfdefender wird ein kostenloses Entschlüsselungswerkzeug für GandCrab angeboten. Der aktuelle "Bitfdefender Decryptor" sollte in der Lage sein, die betroffenen Dateien zu entschlüsseln. Laut Bitdefender sind auch ältere Versionen von GandCrab kein Problem für das Tool.
Wer allerdings auf Nummer sicher gehen will, sollte immer Backups seiner wichtigen Daten machen und nach einem Ransomware-Befall den Rechner neu aufsetzen und die Backups einspielen. Zudem sollte man auch die weiterführenden Tipps zum Schutz vor Ransomware beachten.