Nach Petya, WannaCry und Co. haben Hacker mit Grandcrab die nächste Generation Ransomware entwickelt. Der Trojaner verbreitet sich über eine Massen-Spam-Kampagne und erreicht zahlreiche Nutzer, die mittels verschiedener Social-Engineering-Methoden geködert werden. Glücklicherweise können Betroffene ihre Daten wieder entschlüsseln.
Autor: Thomas W. Frick, 10.07.2019, Thema: Grandcrab
Kurznavigation in diesem Beitrag:
Seite 1 Beitrag / Diskussionsgrundlage
Seite 2 Am nächsten persönlichen Erfahrungsaustausch teilnehmen
Seite 3 Kostenloses PDF-Angebot
Was ist Grandcrab?
Grandcrab ist ein Erpressertrojaner, der zunächst über Bewerbungen an Unternehmen versendet wurde. Mittlerweile werden auch private Computer von Grandcrab angegriffen. Zum ersten Mal tauchte die Ransomware 2018 auf. Der Trojaner nutzt eine Sicherheitslücke in Windows und im Flash Player aus. Zunächst war nur der asiatische Raum betroffen. Der Trojaner wird durch die Verschlüsselung des Anhangs von gängiger Antivirus-Software meist nicht erkannt. Kurz nach dem ersten Auftreten von Grandcrab schlug nicht ein einziges der 56 getesteten Tools an. Mittlerweile erkennen ihn ein paar Programme.
Bei Grandcrab handelt es sich um einen klassischen Erpressertrojaner. Dies bedeutet, er verschlüsselt die Daten auf dem Rechner des Opfers. Ziel ist es, Geld zu erpressen, indem die Cyberkriminellen behaupten, sie würden die Daten gegen eine bestimmte Summe wieder entschlüsseln. Allerdings gibt es keine Garantie für eine Entschlüsselung der Daten. Deswegen sollten Betroffene nicht auf die Forderung eingehen. Dies würde den Tätern nur zeigen, dass ihr Geschäftsmodell funktioniert.
Betroffene können Daten entschlüsseln
Opfer aktueller Versionen der Ransomware können ihre Daten wiederherstellen. Ein entsprechendes Tools ist hierfür entwickelt worden. Das Tool ist innerhalb einer Europol-Kooperation entstanden. Es kann auf der Seite NoMoreRansom.org heruntergeladen werden. Auf der Webseite befindet sich eine Anleitung für die Betroffenen. Die Grandcrab-Versionen v1, v4, v5, v5.1 und v5.2 werden von dem Tool unterstützt. Die Entschlüsselung hat bereits erfolgreich auf den Systemen Windows XP, Windows 7 und Windows 10 funktioniert. Die vorherige Version des Entschlüsselungstools hat bereits über 30.000 Opfern der Ransomware geholfen, wieder an ihre Daten zu gelangen.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
Grandcrab frühzeitig erkennen – so funktioniert die Ransomware
Es wird eine Worddatei gesendet, die beispielsweise „beispiel.doc“ heißt. Wird die Datei in Word geöffnet, kommt die Warnmeldung „Diese Datei wurde mit einer früheren Version von Word erstellt, klicken Sie auf Inhalte aktivieren“. In manchen Mails werden die Betroffenen auch dazu aufgefordert, Schriften nachzuinstallieren. Alles ist so erstellt worden, dass das Opfer wenig Verdacht schöpft. Wird auf „Inhalte aktivieren“ geklickt, startet ein Makro mit fatalen Folgen. Ein bösartiges Skript startet in einem Terminal eine Powershell, lädt damit eine Version des Trojaners nach und startet diesen. Anschließend wird die Festplatte verschlüsselt und der Desktop-Hintergrund wird mit einem Bild der Lösegeld-Forderung ersetzt.