Danskere ramt af ny ransomware: Nu har rumænsk antivirus-firma nøglerne

Illustration: vchal, BigStock
Rumænske Bitdefender har frigivet et værktøj til dekryptering af filer krypteret af ransomwaren Gandcrab.

Hvis du er en af dem, der har mistet adgangen til dine data som følge af ransomwaren Gandcrab, så kan der være håb forude. Den rumænske antivirus-virksomhed Bitdefender har frigivet et værktøj til at gøre de krypterede filer læsbare igen - uden at betale løsesummen.

Værktøjet kan hentes fra Bitdefender her (den store grønne knap på siden), hvor der også står mere om ransomwaren.

Når værktøjet kan dekryptere dataene igen, skyldes det, at Bitdefender slet og ret ligger inde med flere tusinde nøgler, der kan dekryptere data.

Altså de samme nøgler, som de kriminelle bagmænd normalt ligger inde med, og som det er meningen, bliver frigivet, når ofret betaler løsesummen for at få låst sine filer op igen.

I den aktuelle sag har Bitdefender fået nøglerne fra politiet.

Bitdefender rettede oprindeligt selv henvendelse til det rumænske politi på baggrund af data fra it-sikkerhedsvirksomhedens anti-virusprogram.

»Vi bemærkede, at antallet af ofre var i hastig stigning. Vi så en del aktivitet i vores antivirus, så som blokerede forsøg (på inficering, red.),« siger Bogdan Botezatu, der er senior e-threat analyst i Bitdefender.

»Vi indså, at disse var meget hyppige, så vi ringede til politiet. Vi forklarede, at vi så en stigende trussel.«

Politiet i Rumænien tog derefter sagen videre til Europol.

Efter en måneds tid vendte politiet tilbage med 52.000 nøgler til Bitdefender - altså nøgler, som de kriminelle bagmænd i udgangspunktet ligger inde med, og som kan dekryptere data. Når politiet gav nøglerne til Bitdefender, skyldes det ifølge Bogdan Botezatu blandt andet, at det var den rumænske virksomhed, der flagede problemet overfor ordensmagten i første omgang. Desuden har Bitdefender erfaring med dekryptering af data angrebet af ransomware fra andre sager.

Læs også: Ransomware-udviklere klokker i det for tredje gang: Glemmer at vælge hash-funktion

Bogdan Botezatu fortæller, han ikke ved, hvorfra politiet har fået nøglerne. Han nævner som en mulighed, at ordensmagten kan have fået adgang til de it-kriminelle bagmænds server. Eller måske, vurderer Botezatu, kan det være lykkedes politiet at forudsige, hvordan nøglerne er blevet genererede.

Ransomware-as-a-service

Ifølge Bogdan Botezatu, så har Gandcrab foreløbigt været en af de mest udbredte former for ransomware i 2018. Han forklarer udbredelsen med, at ransomwaren bliver distribueret gennem flere tredjeparter, der køber sig adgang til produktet hos de egentlige bagmænd.

Det vil sige, at it-kriminelle med et minimalt teknisk kendskab har kunnet anvende og distribuere malwaren mod en betaling.

»Så det er ikke bare begrænset til en intern gruppe af folk, det er et abonnementsbaseret program. Det er grundlæggende ransomware-as-a-service.«

Løsesummen, som Gandcrab afkræver ofrene, varierer. Bogdan Botezatu fortæller, at han set alt fra 1.200 dollars (ca. 7.300 kroner) til 700.000 dollars (ca. 4,2 mio. kroner). Hvad løsesum angår, så bliver beløbet opkrævet i kryptovalutaen DASH, hvilket ifølge Bogdan Botezatu er usædvanligt.

Ofrene for Gandcrab er forsøgt inficeret gennem ondsindede filer vedhæftet mails og via banner-reklamer, som har ført til landing-pages med et exploit kit kaldet RIG.

52.000 inficerede

Bodgan Botezatu vurderer, at 52.000 brugere er blevet inficeret fra slutningen af januar, hvor ransomwaren begyndte at dukke op og så frem til 28. februar, hvor Bitdefender lancerede deres dekrypteringsværktøj. Antallet af inficerede brugere baserer han på det antal dekrypteringsnøgler, Bitdefender har fået udleveret, da der bliver brugt en unik nøgle per angreb til kryptering af filer.

Også i Danmark er folk blevet ramt af ramsomwaren, fortæller Bogdan Botezatu. Han mener, der i hvert fald har været 80 tilfælde i Danmark. De er det antal gange, værktøjet ifølge it-sikkerhedsforskeren havde været anvendt i Danmark, da Version2 talte med ham torsdag eftermiddag i denne uge. Værktøjet blev frigivet 28. februar, altså dagen før.

»Vi forventer, tallet vil stige, fordi vi lige har frigivet dekrypterings-værktøjet, og det tager lidt tid, før informationen bliver spredt, og til folk downloader det og bruger det. Nogen gør den slags i løbet af weekenden, så vi kommer nok til at se et peak i aktiviteten i forhold til at servicere krypteringsnøgler en gang lørdag, når folk har nok fritid til at prøve dekryptering derhjemme,« siger han.

Nøgledistribution

Bitdefenders dekrypteringsværktøj er afhængigt af, at der ligger en fil med en ransomware-besked på det inficerede system. Beskeden indeholder nemlig et id, der identificerer, hvilken nøgle, der skal bruges til dekryptering. Nøglen bliver hentet baseret på id-nummeret fra Bitdefenders server.

I fald id-nummeret, der skal bruges til at finde den rette nøgle, er væk, så kunne det principielt være muligt at teste alle 52.000 nøgler. Men Bogdan Botezatu mener ikke umiddelbart, det er en gangbar løsning. Han peger på, at nøglen skal gennem en specifik algoritme, og hvis den forkerte nøgle bliver brugt til dekryptering, så bliver filerne yderligere forvanskede.

»Det er teknisk muligt, men det er et gigantisk arbejde.«

Selvom folkene bag Gandcrab foreløbigt lader til at have lidt et nederlag, så forventer Bogdan Botezatu, at høre mere fra den side i fremtiden.

»De dukker selvfølgeligt op igen, og de vil fikse den vej, politiet har fundet ind i deres øko-system.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Kruse

Der er så sent som i går aftes udsendt en ny variant (GandGrab v2.0) som IKKE kan dekrypteres med Bidefender's værktøj.

Derudover har banditternes respons på denne aktion været, at klippe snoren til nye infektioner, hvilket betyder at de efterlades uden mulighed for at genskabe data, så man kan spørge sig selv, om denne aktion havde den ønskede effekt.

  • 2
  • 5
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize