Създателите на рансъмуер заплахата GandCrab се отказват от неговото разпространение, предава ZDNet. Медията базира своя репортаж на специалист по информационна сигурност, който е забелязал официално съобщение в един от известните хакерски форуми, същият, в който те са направили появяването си в началото на миналата година.

GandCrab е рансъмуер, който се появи през януари 2018-та. Неговите характеристики доведоха до изключителната му популярност днес, като в края на април Дейвид Балабан от страниците на Hackernoon го определи за „топ заплахата понастоящем“.

Това, което прави успешен GandCrab е на първо място техническата експертиза, която демонстрират авторите му, честото му обновление, което правеше засичането му от антивирусните програми трудно и множеството му вектори на разпространение. Освен стандартните методи за разпространение на криптовируса – чрез спам и кракове, GandCrab бива включен в няколко популярни експлойт комплекта. И разбира се, голяма помощ за популярността му е използваната от създателите му бизнес практика, при която го отдават под наем за дял от печалбата или т.нар. ransomware-as-a-service (RaaS). Това е и първата рансъмуер заплаха, която използва все поще неоткрита по това време уязвимост в Windows. GandCrab е и първата зловредна програма, която освен биткойн, приема като плащане TRON.

Специалистите по информационна защита се борят с променлив успех със заплахата до февруари тази година, когато Bitdefender издадоха декриптиращ инструмент за всички версии на заплахата без последния ѝ вариант (5.2).

Създателите на GandCrab нашумяха и с два любопитни случая. В първият от тях – в края на миналата година – жертва на заплахата помоли заключените от рансъмуера файлове да му бъдат върнати безплатно. Молещият твърди, че е от Сирия, а сред криптираните файлове присъстват снимки на загиналите му деца. Киберпрестъпниците уважават искането му, пишейки в един от форумите, в които се подвизават, че е трябвало поначало да изключат Сирия, като обект на атака. Вторият интересен случай е свързан с AhnLab. Корейската компания за сигурност намира изключващ механизъм, скрит в кода на заплахата. Чрез него GandCrab бива подлъган, че вече присъства на системата и веднъж попаднал на нея, не извършва никаква зловредна дейност. В отговор на корейската компания, хакерите представя версия на рансъмуера с включен експлойт за все още неоткрита уязвимост в антивирусната програма на AhnLab, с което да я деактивират – доказателство за техническата експертиза и ресурси, с които разполагат създателите на GandCrab.

В споменатото прощално съобщение на групировката, създателите на заплахата обясняват, че GаndCrab им е донесъл вече над два милиарда долара, като опериращите с него печелят по около $2.5 млн. на седмица и $150 милиона годишно. „Ние успяхме да изтеглим тези пари и да ги легализираме в различни легитимни бизнес дейности, както в реалния живот, така и в Интернет“, пишат от групата зад криптовируса. Те заявяват, че обмислят план да изтрият всички декриптиращи ключове – стъпка, която според специалисти може да е трик, с който да накарат жертвите си да платят възможно по-скоро. Фактът обаче, че са разпратили и имейли на своите „партньори“ в RaaS схемите им, подсказва, че те вероятно наистина се оттеглят от киберцената.