Gandcrab er et løsepengevirus som ble oppdaget ved begynnelsen av året, da mer enn 50.000 ofre ble rammet i løpet av én måned. Siden er det kommet en rekke nye versjoner.
Skadevaren følger et kjent mønster ved at den låser ned filer på Windows-baserte datamaskiner med sterk kryptering. Deretter blir ofrene møtt med krav om å betale for en nøkkel, eller risikere at filene er tapt for alltid.
Skandinavia og engelskspråklige land er særlig utsatt. Her er det verdt å merke seg at Norge har en uforholdsmessig høy andel av infeksjonene. Det viser en analyse fra Checkpoint.
Mye tyder på russisk opphav, ifølge sikkerhetsselskapet. Det er blant annet lagt inn egne mekanismer i koden for å unngå å ramme russiskspråklige og folk som bor i de tidligere sovjetiske statene.
Skadevaren skal være tungt markedsført og distribuert via flere undergrunnsfora. Det var i et slikt forum at Gandcrab-utviklere denne uken viste tegn til anger.
Gir ut kryptonøkler
Gandcrap-utviklere valgte onsdag å gi ut kryptonøkler til sine ofre i Syria, skriver nettstedet Bleeping Computer.
Etter å ha fanget opp en trist historie på Twitter later bakmennene å ha blitt tynget av samvittighetsnag. Jameel skriver at han er en syrisk far som mistet begge sønnene sine i den grusomme krigen i landet.
Alt han hadde igjen av barna var bilder og video, som nå var blitt kryptert. Hvordan skulle han ha råd til å betale, som knapt har penger til å overleve?
Gruppa bak skadevaren oppgir at de angrer på at de ikke hadde lagt inn Syria blant landene på unntakslisten for infeksjoner. Ofre i andre land vier de derimot ingen sympati.
De har nå har utgitt en tekstfil med kryptonøkler for 978 syriske ofre for skadevaren. For syriske ofre som ikke er på listen, så hevder hackerne at de også vil få tilgang på kryptonøkkel, så lenge ofrene sender inn kopi av passet, bilde av seg selv og betalingssiden.
– Det er åpenbart problematisk å sende kopi av passet ditt til ukjente bakmenn, advarer Bleeping Computer.
Selv om det er uvanlig at kriminelle bakmenn gir fra seg kryptonøkler, så er det ikke helt uhørt. De peker på et tilfelle sommeren 2016, da utpressingsvaren TeslaCrypt var i ferd med å bli avviklet.
– En sikkerhetsforsker fra Eset oppdaget dette og rettet en henvendelse til utgiveren om de kunne gi fra seg kryptonøklene. Til alles overraskelse valgte de å utgi masternøkkelen, slik at alle gjenværende ofre kunne låse opp filene sine gratis, skriver nettstedet.