Les auteurs de ce malware procèdent de manière rapide et ultra-professionnel. Selon les chercheurs de Bitdefender, qui se sont lancés à leurs trousses, leur ransomware est certainement le plus néfaste de toute l’année.
Ceux qui pensaient, il y a moins d’un mois, en avoir terminé avec GandCrab se sont trompés. Le terrible ransomware, qui sévit depuis le début de l’année et qui s’attaque aussi bien aux particuliers qu’aux entreprises, est plus fort que jamais. Fin octobre, Bitdefender avait laissé entrapercevoir une lueur d’espoir en proposant enfin un outil qui permettait de déchiffrer les fichiers bloqués par les versions 4 et 5. Mais les auteurs de ce code malveillant ne se sont pas laissé perturber par ce revers. Le jour suivant, ils ont sorti une nouvelle version (5.0.4) qui est pour l’instant incassable et qui se répand extrêmement vite, y compris en France.
Les victimes de GandCrab se trouvent un peu partout dans le monde. Pour s’en convaincre, il suffit de regarder le nombre de déchiffrements effectués par l’outil de Bitdefender. A ce jour, celui-ci a débloqué les fichiers de plus de 6 100 ordinateurs dont 557 en Chine, 385 en Corée du sud, 376 en Inde et 366 aux Etats-Unis. La France arrive en 12e position avec 134 déchiffrements réussis. « Les rançons de GandCrab démarrent à 600 dollars. Pour les pirates, cela correspond à un manque à gagner d’au-moins 3,6 millions de dollars », se félicite Bogdan Botezatu, directeur Threat Research chez Bitdefender. Au total, l’éditeur estime que GandCrab a infecté plus de 500 000 ordinateurs depuis juillet dernier. Il reste donc encore beaucoup de pain sur la planche.
L’éditeur reçoit également les notifications pour les tentatives de déchiffrement qui n’ont pas réussi. « Nous en avons reçu plus de 11 000. Elles correspondent à la version 5.0.4 », nous précise le directeur. Presque chacune de ces tentatives ratées est accompagnée d’une message de détresse qui atterrit dans la messagerie de Bogdan Botezatu. Celui-ci répond directement à la victime ou transfert le message au support technique, en fonction des cas. Certains messages lui fendent le coeur. « Il y a des gens qui ont perdu les dernières photos d’un fils décédé ou les données d’un projet sur lesquels ils ont travaillé depuis des années. Et ils n’ont pas forcément les moyens de payer 600 dollars », explique-t-il.
Course contre la montre
Si votre ordinateur a été touché par GandCrab, il suffit de lire le message texte affiché par le malware pour connaître le numéro de version. Si c’est 1, 4 ou une version 5 antérieur à 5.0.4, vous avez de la chance et vous pouvez utiliser l’outil de déchiffrement de Bitdefender. Sinon, il faut faire une sauvegarde des fichiers chiffrés pour un éventuel déchiffrement ultérieur. Dans tous les cas, il faut procéder auparavant à un nettoyage du disque en réalisant une analyse antivirale.
Pour cela, il est préférable d’utiliser Bitdefender (la version gratuite suffira). Certaines solutions de sécurité concurrentes effacent non seulement le code malveillant, mais aussi le message texte. Or, celui-ci contient la clé publique associée à la clé privée qui permet de déchiffrer les fichiers. « Sans ce fichier texte, les données sont perdues à jamais », souligne Bogdan Botezatu.
Depuis la premier apparition de GandCrab en janvier 2018, les chercheurs en sécurité se sont lancés dans une véritable course contre la montre. Lorsque Bitdefender a présenté un premier outil de déchiffrement en février, les cybermalfrats ont répondu par les versions 2 et 3, qui n’ont toujours pas été cassées. En août, lorsque les chercheurs d’AhnLab ont publié un vaccin pour la version 4.1.2, les pirates ont répliqué par une version 4.3 qui exploitait en prime une faille zero-day dans le logiciel de sécurité d’AhnLab, destinée à faire planter l’ordinateur. « Hey AhnLab, le score est 1:1 », pouvait on lire dans le code du malware.
Des rançons qui s’ajustent automatiquement
Selon Bitdefender, GandCrab est clairement le ransomware qui aura créé le plus de dommages en 2018. « Les auteurs sont rapides et leur système de chiffrement est béton. Ils ont également adopté un business model très efficace », poursuit le directeur. Les auteurs de GandCrab ne se salissent pas les mains directement, mais revendent leur ransomware à des groupes tiers qui vont lancer les attaques en échange d’un partage des revenus.
Ce modèle n’est pas nouveau, mais avec GandCrab il est perfectionné. Ainsi ce malware est capable d’ajuster automatiquement la hauteur de la rançon en fonction des fichiers trouvés sur l’ordinateur, et donc du type de la victime. S’il ne trouve que des photos de vacances et quelques documents Word, ce sera 600 dollars. Si c’est une base de données professionnelle, ce sera plusieurs milliers, voire dizaines de milliers de dollars. Selon Bitdefender, la rançon de GandCrab peut aller jusqu’à 700 000 dollars. De quoi mettre en péril n’importe quelle activité.
Qui se cache derrière GandCrab ? Probablement la mafia russe. En effet, le malware n’infecte pas les ordinateurs situés en Fédération de Russie. Ce qui laisse supposer que les pirates gèrent leurs opérations depuis cette zone, car on ne scie pas la branche sur laquelle on est assis. Face au crime organisé, il faut évidemment prendre certaines précautions. Ainsi, Bitdefender ne révélera jamais comment la clé de déchiffrement pour les versions 4 et 5 a été trouvée. « Ce travail résulte d’une collaboration avec les forces de l’ordre. Personnellement, je ne sais pas comment ils ont fait et je ne veux pas le savoir. Je n’ai pas envie de recevoir la visite des membres de GandCrab. Ces gens-là jouent gros. Ils génèrent un pognon énorme et ils font partie de la pègre. Pas question de prendre des risques », souligne Bogdan Botezatu.