GandCrab version 4.1 et version 5.x

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1781
Inscription : 02 juin 2012 20:48

GandCrab version 4.1 et version 5.x

Message par Parisien_entraide » 08 juil. 2018 13:08

GrandCrab est un ransomware encore très actif en 2018.
Le site propose un article et dossier complet sur ce dernier : GandCrab un ransomware encore persistance.
Cet article récapitule les différentes versions de GrandCrab et les versions dont les documents peuvent être récupérées.
gandcrab logo..png
gandcrab logo..png (107.05 Kio) Consulté 1318 fois
GandCrab en version 4.1 est en circulation

Pour rappel : https://www.acronis.com/en-us/articles/gandcrab/

Celui ci a une particularité comme expliqué par Kevin Beaumont https://doublepulsar.com/gandcrab-v4-1- ... 0827153219

c’est le premier rançongiciel se propageant comme un vers en exploitant des vulnérabilités du protocole SMB affectant les systèmes sous Windows XP et Server 2003.


Et comme le souligne https://www.lemagit.fr/actualites/25244 ... creativite :


"Depuis sa version 4.0 (pourtant sortie récemment) GandGrab se passe de canaux de communication avec un serveur de commande et de contrôle : « il peut opérer dans les environnements en airgap », isolés, donc, souligne Kevin Beaumont.

GandCrab affecte essentiellement les organisations et les personnes souffrant de mauvaises pratiques de sécurité. Il est d’ailleurs notamment distribué avec des générateurs de numéros de série de logiciels… Mais « la plupart des antivirus peuvent le détecter rapidement ».

Les recommandations de prévention devraient donc être bien connues : segmenter ses réseaux, désactiver SMBv1, installer les correctifs disponibles et garder des systèmes bien à jour, tout en interdisant certaines pratiques à risque.

Les créateurs des ransomwares de la famille Rakhni ne manquent pas, non plus, de créativité. Les équipes de Kaspersky suivent leurs maliciels depuis 2013. Et le dernier d’entre eux manifeste un opportunisme poussé à son comble : selon les caractéristiques de la machine sur laquelle il s’installe, il choisira tantôt de se comporter comme un rançongiciel, ou comme un maliciel de cryptojacking.
gandcrab-folder.jpg

Ce choix est d’abord déterminé par la présence, ou l’absence, d’un dossier spécifique faisant référence au Bitcoin. S’il existe, le maliciel ira charger le ransomware. Sinon, et si le système d’exploitation de la machine expose plus de deux processeurs logiques, ce sera le mineur de crypto-deniers, en Monero.

Dans tous les cas, le logiciel vérifie si un antivirus est installé. Et s’il n’en trouve pas, il fait appel à Powershell pour arrêter Windows Defender. En outre, il essaie au passage de se propager à toutes les ressources de partage de fichiers accessibles sur le réseau à la machine compromise."


Only Amiga... was possible !


Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1781
Inscription : 02 juin 2012 20:48

Re: GandCrab version 4.1

Message par Parisien_entraide » 13 nov. 2018 08:10

Pour suivre l'actualité du décrypteur fournit par Bitdfender

https://labs.bitdefender.com/2018/10/ga ... -for-free/

Lien de téléchargement direct http://download.bitdefender.com/am/malw ... ptTool.exe

decrypto.png

Et d'une manière plus globale

https://www.nomoreransom.org/fr/index.html
Only Amiga... was possible !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95063
Inscription : 10 sept. 2005 13:57
Contact :

Re: GandCrab version 4.1 et version 5.x

Message par Malekal_morte » 13 nov. 2018 09:41

Merci pour les infos =)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1781
Inscription : 02 juin 2012 20:48

Re: GandCrab version 4.1 et version 5.x

Message par Parisien_entraide » 17 févr. 2019 12:20

Malheureusement depuis la version 5.0.4 il n'est plus possible d'effectuer le décryptage

https://labs.bitdefender.com/2018/10/ga ... -for-free/

Il n'est pas assuré que le decrypteur de fichiers arrive de suite ou puisse exister dans un proche avenir, car au fil des versions les "concepteurs" corrigent les failles et essaient de le rendre plus efficace

Pour rappel : L'infection en général se produit à l'ouverture d'une pièce jointe reçue en mail, un crack, un jeu cracké, alliés à diverses failles et mauvaises pratiques, et crypte les unités connectées et en partage

Autre : https://www.nomoreransom.org/uploads/GA ... 20TOOL.pdf
Only Amiga... was possible !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95063
Inscription : 10 sept. 2005 13:57
Contact :

Re: GandCrab version 4.1 et version 5.x

Message par Malekal_morte » 17 févr. 2019 12:25

Ils ont quand même mis du temps pour avoir une version non décryptable PDT_007
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1781
Inscription : 02 juin 2012 20:48

Re: GandCrab version 4.1 et version 5.x

Message par Parisien_entraide » 17 févr. 2019 12:59

Ouaip :-) Mais ce n'est pas rassurant pour les années à venir

En tous les cas il y en a qui surfent sur la vague : https://adc-soft.com/decryptage/ransomware.php mais ils préviennent que

"DrWeb, Déchiffre vos fichiers infectés par les ransomwares dans presque 90% des cas"

Problème : Les 10% restants sont ceux qui affectent le plus de gens (du moins sont que l'on voit passer sur les fora comme avec GandCrab)

Ensuite il y a des subtilités (où on note que certains décryptors fonctionnent mais qu'ils ne sont pas gratuits)
https://www.bleepingcomputer.com/forums ... try4632815

Néanmoins la boite francise quelques logiciels et fait de la vente d'AV à prix très raisonnable (kaspersky par ex) et a le mérite d'exister pour agir contre les ransomwares
Only Amiga... was possible !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95063
Inscription : 10 sept. 2005 13:57
Contact :

Re: GandCrab version 4.1 et version 5.x

Message par Malekal_morte » 17 févr. 2019 13:08

Bha il y a tout un business de récupération de fichiers comme pour les disques ou les logiciels de fichiers effacés.
Et même au niveau des ransomwares (module anti-ransomware à vendre) etc.

Bref les éditeurs d'antivirus en profitent.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1781
Inscription : 02 juin 2012 20:48

Re: GandCrab version 4.1 et version 5.x

Message par Parisien_entraide » 22 févr. 2019 18:32

Bonne nouvelle !


Bitdefender vient d'annoncer que leur outil est utilisable infections par les versions 5.0.4 à 5.1 de GandCrab

Je cite :

"Bitdefender collaboration avec la police roumaine, Europol et d'autres services répressifs a permis de créer un nouveau déchiffreur pour toutes les versions de ransomware depuis le mois d'octobre 2018"


https://labs.bitdefender.com/2018/10/ga ... -for-free/

https://www.nomoreransom.org/fr/decryption-tools.html

Bien lire le guide d'utilisation avant emploi (idem sur la page de Bitdfender)

https://www.nomoreransom.org/uploads/GA ... 20TOOL.pdf

2019-02-22_183204.png
Only Amiga... was possible !

Avatar de l’utilisateur
Parisien_entraide
Geek à longue barbe
Geek à longue barbe
Messages : 1781
Inscription : 02 juin 2012 20:48

Re: GandCrab version 4.1 et version 5.x

Message par Parisien_entraide » 24 févr. 2019 11:18

MAUVAISE NOUVELLE !

Il fallait s'y attendre

Les développeurs de ransomware ont publié une nouvelle version 5.2, qui n’est plus déchiffrable.
DzhVvRIVAAAC88u.jpg small.jpg
Néanmoins les kits de diffusion sont encore sous l'ancienne version 5.1 (pour l'instant) comme l'un des plus connu FALLOUT EK


Pour rappel :

Le kit d’exploitation FalloutEK est de nouveau opérationnel après une interruption d’une semaine entre le 27 décembre et le 4 janvier, avec de nouveaux outils à son actif tels qu’un nouvel exploit Flash, le support HTTPS, un nouveau format de page de destination et la possibilité de distribuer des charges utiles avec Powershell.

Avant sa pause, Fallout EK avait utilisé la vulnérabilité Adobe Flash Player de CVE-2018-4878, une utilisation après utilisation gratuite, ainsi que l'exécution de code à distance CVE-2018-8174, ciblant le moteur Windows VBScript.

Comme l'a découvert le chercheur en sécurité Kafeine , le EK Fallout ressuscité est maintenant capable d'exploiter la vulnérabilité d'utilisateur zéro day CVE-2018-15982 après la découverte et la correction du correctif par Adobe le 5 décembre .

Une fois exploité, CVE-2018-15982 permet aux attaquants d’exécuter des commandes arbitraires sur les ordinateurs vulnérables où Flash Player jusqu’à 31.0.0.153 est installé. Kafeine a également constaté que Fallout est le deuxième kit d’exploitation à prendre en charge CVE-2018-15982 après Underminer .
Only Amiga... was possible !

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95063
Inscription : 10 sept. 2005 13:57
Contact :

Re: GandCrab version 4.1 et version 5.x

Message par Malekal_morte » 24 févr. 2019 13:10

yup logique.
En tout cas, à la version 5, ils sont toujours pas foutus de faire une version non cryptable, ça laisse de l'espoir pour les victimes.

J'en profite pour signaler que j'ai fait un article sur le site : GandCrab un ransomware encore persistance.
J'ai mis en introduction de la page.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95063
Inscription : 10 sept. 2005 13:57
Contact :

Re: GandCrab version 4.1 et version 5.x

Message par Malekal_morte » 25 févr. 2019 09:18

Il y a aussi un utilitaire de vaccination contre GrandCrab sur cette page : https://29wspy.ru/reversing.html

https://twitter.com/ValthekOn/status/10 ... 8068173825
grandcrab .png
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

flexi2202
newbie expert
newbie expert
Messages : 65
Inscription : 15 juin 2010 11:12

Re: GandCrab version 4.1 et version 5.x

Message par flexi2202 » 19 mars 2019 09:16

je vais suivre car je suis infecte aussi

flexi2202
newbie expert
newbie expert
Messages : 65
Inscription : 15 juin 2010 11:12

Re: GandCrab version 4.1 et version 5.x

Message par flexi2202 » 19 mars 2019 09:46

bonjour
une fois que le pc a été désinfecté , il n y a vraiment p lus aucun risque avec les fichiers cryptes et les messages txt laisse un peu partout pour demander la rançon ?
il n y a plus aucun contact possible ?
car je suis alle voir la documentation c est quand meme une fameuse saleté
merci de l aide

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 95063
Inscription : 10 sept. 2005 13:57
Contact :

Re: GandCrab version 4.1 et version 5.x

Message par Malekal_morte » 19 mars 2019 10:41

Non aucun risque, ce sont tes données qui sont chiffrés.
C'est comme si tu avais plein de zip de tes documents.
Le ransomware n'est en général pas résident, même s'il y a des versions qui l'ont été.
Il faut analyser avec Malwarebytes Anti-Malware (MBAM) puis une fois l'ordinateur désinfecté, par sécurité changer tous ses mots de passe.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

flexi2202
newbie expert
newbie expert
Messages : 65
Inscription : 15 juin 2010 11:12

Re: GandCrab version 4.1 et version 5.x

Message par flexi2202 » 19 mars 2019 10:54

ok super
un grand merci pour l aide
donc impossible qu il puisse avoir ete mettre une saletee quelconque sur un autre lecteur autre que le c


Répondre

Revenir vers « Actualité & News Informatique »