Le Trojan nommé par ses auteurs « GandCrab! » attribue l’extension *.GDCB aux fichiers chiffrés. Actuellement, deux versions du ransomware sont connues.
Après son lancement sur une machine attaquée tournant sous Microsoft Windows, GandCrab! peut recueillir des informations sur les processus en cours des logiciels antivirus. Il vérifie en premier lieu s’il a déjà été lancé sur la machine afin d’éviter d’être lancé à nouveau (redémarré), puis force l’arrêt des processus des logiciels selon une liste définie par les pirates. Il installe une copie de lui-même sur le disque et modifie une branche du Registre Windows pour assurer son lancement automatique. Le Trojan chiffre le contenu des disques fixes, amovibles et de réseau, à l’exception de certains dossiers dont quelques dossiers système et service. Chaque disque est chiffré dans un thread séparé. Après la fin du chiffrement, le Trojan envoie au serveur des données sur le nombre de fichiers chiffrés et sur le temps mis pour le chiffrement.
Le Trojan utilise un serveur de contrôle dont le nom de domaine n’est pas autorisé de manière standard. Pour obtenir l’adresse IP de ce serveur, le ransomware exécute la commande nslookup et cherche les données nécessaires dans la sortie correspondant à la commande exécutée. Actuellement, il est impossible de déchiffrer les fichiers touchés par GandCrab! Le moyen le plus fiable pour protéger les fichiers est d’effectuer une sauvegarde régulière de toutes les données importantes sur des supports externes… et de ne pas cliquer sur n’importe quoi. (avec DrWeb)