Twórcy GandCraba wydają darmowy dekryptor dla ofiar w Syrii

Syryjczycy otrzymują darmowe klucze deszyfrujące od twórców GandCraba

Nagle, twórcy ransomware'a GandCrab wydali klucze deszyfrujące dla obywateli Syrii na podziemnym forum. Wyrażając żal po nie uwzględnieniu Syrii na liście wyjątków już na starcie, wydali też oświadczenie, w którym poinformowaniu o nie wydawaniu kolejnych kluczy w przyszłości. 

Cyberprzestępcy przyznali, że pokazanie serca zostało zainicjowane przez tweeta autorstwa syryjskiego ojca, który stracił swoich synów w wojnie i poprosił o odzyskanie ich zdjęć. Jameel, człowiek, który stracił swoje dzieci w wojnie w Syrii wyjawił to w swoich tweetach:

All I have left of my children is the photos and videos I took of them before they were mercilessly killed. And now GandCrab V5.0.3 has locked all of them. 

They want 600 dollars to give me back my children, that's what they've done, they've taken my boys away from me for a some filthy money. How can I pay them 600 dollars if I barely have enough money to put food on the table for me and my wife?

Nieoczekiwany ruch nie dotyczy ofiar z innych krajów

Odpowiedź ze strony twórców Gandcrab mówi, że wszystkie ofiary wojny w Syrii otrzymają klucze deszyfrujące – jeśli są jeszcze ofiary, które nie otrzymały swoich kluczy, przekazanie ich jest kwestią czasu. 

Hakerzy proszą ofiary o podanie następujących danych w celu identyfikacji:

• Zdjęcia;
• Paszportu;
• Strony płatności.

Pamiętaj, ze pokazywanie paszportu bądź innego dokumentu tożsamości może prowadzić do większych szkód bądź problemów z prywatnością. Powinieneś to robić nad wyraz ostrożnie.

Wiadomość od GandCrab do Syryjczyków mówi::

We regret that we did not initially add this country to the exceptions. But at least that way we can help them now.
Whose keys are not (only for citizens of Syria and the CIS, Ukraine including) – you need to come to us and take a picture of yourself with a passport and payment page. After that, we will issue a decryptor for free.

Jeśli chodzi o ofiary z innych krajów, deweloperzy wirusa także mają dla nich wiadomość. Niestety, mówi ona, że żadne kolejne klucze nie zostaną udostępnione w przyszłości. Jedynym rozwiązaniem dla pozostałych ofiar jest zapłata okupu i rozszyfrowanie plików z pomocą narzędzi zrobionych przez hakerów. Nie zalecamy jednak płacić okupu – ludzie stojący za tym zagrożeniem nie są godni zaufania.

Dekrypcja działa dla niemal wszystkich wariantów GandCraba 

W poście na forum twórcy umieścili link do zarchiwizowanego pliku zawierającego klucze deszyfrujące. Plik .zip zawiera pliki readme.txt and SY_keys.txt files.

Pierwszy dokument zawiera informację po rosyjsku na temat organizacji kluczy w pliku oraz powodzie ich wydania. Plik SY_keys.txt zawiera zaś listę około 1000 kluczy deszyfrujących. Każda linijka posiada unikalna ID ofiary oraz klucz deszyfrujący. Według analityków, klucze te działają dla odmian ransomware GandCrab od 1.0.0 do 5.0.

Narzędzia do rozszyfrowania plików do najnowszych wersji nie zostały jeszcze wydane – musisz być więc ostrożny, jeśli zdecydujesz się na kontakt z cyberprzestępcami. Ransomware zostaje jednym z najniebezpieczniejszych zagrożeń w cyberświecie, idąc łeb-w-łeb z kopaczami kryptowaluty.