La version 5 de GandCrab exploite la vulnérabilité CVE-2018-8440 découverte en fin août

Une nouvelle version du rançongiciel GandCrab a été publiée. GandCrab v5 apporte quelques changements notamment l'utilisation d'une chaîne aléatoire de 5 caractères comme extension des fichiers chiffrés, et un message de rançon sous format HTML. Cette version du rançongiciel cible les versions 7 et 10 de Windows.

GandCrab v5 est distribué via le kit d'exploitation "Fallout Exploit Kit". Ce kit utilise les vulnérabilités CVE-2018-8174 ciblant Windows VBScript et CVE-2018-4878 ciblant Adobe Flash Player pour installer le rançongiciel.

En chiffrant les fichiers, GandCrab v5 utilise la même chaîne aléatoire de 5 caractères pour l'extension et pour le nom du message de rançon. Si par exemple pour une victime la chaîne est "lntps", un fichier "test.doc" sera renommé après le chiffrement "test.doc.lntps" et le message "lntps-decrypt.html" ou "lntps-decrypt.txt". Le message de rançon contient les étapes à suivre afin de déchiffrer les fichiers sur le système attaqué. La rançon est de 800 $ (environ 680 euros) à payer en cryptomonnaie DASH. Le site TOR utilisé pour le paiement contient aussi un outil de test de déchiffrement et le site de support.

GandCrab v5 exploite la vulnérabilité découverte dans le planificateur de tâches ALPC (CVE-2018-8440) et ainsi obtenir les privilèges système sur la machine attaquée. Cette vulnérabilité a été corrigée par Microsoft en septembre 2018. Un exploit de cette vulnérabilité est disponible publiquement sur Github et utilisé par des programmes malveillants, dont GandCrab.

Similairement aux autres versions de GandCrab, il est impossible de récupérer les fichiers chiffrés gratuitement. Il est ainsi recommandé de garder des copies de sauvegardes de ses données et de mettre à jour tous les logiciels utilisés.