 |
| FIG 1 - GandCrab Ransomware |
Come si diffonde il malware
Il ransomware utilizza diversi vettori per l'infezione tra cui gli exploit kit RIG, GradSoft, Magnitude, Fallout, ALPC Task Scheduler Zero-day inoltre viene distribuito anche tramite email, siti web contenenti malware, crack, keygen e update fasulli e sfruttando le vulnerabilità del sistema.
Una volta infettato il sistema, il ransomware raccoglie informazioni sulla vittima come il nome utente, il nome del pc, il sistema operativo installato, ecc, quindi provvede alla creazione di un ID univoco e procede a cifrare i file presenti nel sistema. Ai file cifrati viene aggiunta una nuova estensione e la chiave per decriptarli viene salvata, almeno nelle prime versioni, sui server C&C (Command and Control). Al termine del processo l'utente non riuscirà più ad accedere e a visualizzare i propri file e, in ogni cartella, sarà presente un file del tipo GDCB-DECRYPT.txt, KRAB-DECRYPT.txt o [codice ID]-DECRYPT.txt contenente le istruzioni per il pagamento del riscatto (FIG 2).
 |
| FIG 2 - GandCrab, file Decrypt con le istruzioni per il pagamento del riscatto |
| Versione | Data | Estensione | Note |
|---|---|---|---|
| GandCrab | 01/2018 | .GDCB | Diffuso prevalentemente tramite email con allegato alla cui apertura viene eseguito il payload che provvede a cifrare i dati dell'utente e a creare il file GDCB-DECRYPT.txt, contenente informazioni per il pagamento del riscatto, sul desktop della vittima. L'entità del riscatto aumenta con il passare del tempo. |
| GandCrab v2 | 03/2018 | .CRAB | La seconda versione del ransomware è stata rilasciata dopo che un team di esperti di cybersecurity ha rilasciato un tool in grado di decriptare i file cifrati con la prima versione. La nuova versione provvede a cifrare i file utilizzando gli algoritmi AES-256 (CBC mode) e RSA-2048. Il ransomware è stato distribuito attraverso la campagna di malvertising Seamless che porta le vittime ad essere infettate attraverso il kit RIG exploit. Sul desktop viene creato il file CRAB-DECRYPT.txt contenente informazioni per il riscatto. |
| GandCrab v2.1 | 04/2018 | .CRAB | Il funzionamento è analogo a quello visto per la versione precedente |
| GandCrab v3 | 04/2018 | .CRAB | Nella sua terza versione il ransomware mantiene le stesse caratteristiche della versione precedente. L'estensione aggiunta ai file cifrati rimane .CRAB e anche il nome del file creato sul desktop rimane invariato (CRAB-DECRYPT.txt). L'unica differenza rilevante è che da questa versione il ransomware non consente più il pagamento del riscatto mediante la criptovaluta DASH ma solo in Bitcoin. |
| GandCrab v4 | 07/2018 | .KRAB | La quarta versione del ransomware continua ad utilizzare gli algoritmi AES-256 (CBC mode) e RSA-2048 per cifrare i dati della vittima. L'estensione aggiunta ai file cifrati diventa .KRAB. Il file creato sul desktop prende il nome di KRAB-DECRYPT.txt e contiene maggiori informazioni sull'attacco e sulle istruzioni per procedere alla creazione di un wallet per le criptovalute. |
| GandCrab v4.1 | 07/2018 | .krab | Rilasciata subito dopo la versione 4 apporta alcune modifiche al proprio funzionamento. Da tale versione il ransomware non utilizza più i server di C&C (Command and Control) e l'infezione può avvenire anche senza la connessione ad Internet. Per la sua diffusione il ransomware utilizza l'exploit SMB. La patch MS17-010 previene l'infezione rimediando alla vulnerabilità individuata su SMB e sfruttata da diversi ransomware. |
| GandCrab v5.0 e v5.0.1 | 09/2018 | 5 caratteri casuali | L'estensione aggiunta ai file cifrati è composta da 5 caratteri casuali. Lo stesso dicasi per il file creato sul desktop il cui nome ora è del tipo estensione-DECRYPT.html. A partire dalla versione 5 gli algoritmi utilizzati per cifrare i dati dell'utente sono SALSA20 e RSA-2048. |
| GandCrab v5.0.2 | 10/2018 | 10 caratteri casuali | Questa versione del ransomware è stata distribuita il 1° ottobre 2018. Ai file cifrati viene aggiunta un'estensione di 10 caratteri casuali e il file contenente le istruzioni per il riscatto è del tipo estensione-DECRYPT.htm. L'infezione viene portata a termine tramite il kit Fallout exploit. |
| GandCrab v5.0.3 | 10/2018 | 5 caratteri casuali | L'estensione aggiunta ai file cifrati è composta da 5 caratteri casuali. Lo stesso dicasi per il file creato sul desktop il cui nome ora è del tipo estensione-DECRYPT.html. il ransomware viene distribuito prevalentemente tramite un allegato ad un'email di spam. Nascosto all'interno dell'allegato è presente un file JavaScript (il dropper) chiamato GandCrab 5.0.3 downloader.js che una volta eseguito lancia altri 2 eseguibili dsoyaltj.exe e Wermgr.exe che forniscono al malware privilegi amministrativi e avviano la cifratura dei dati. |
| GandCrab v5.0.4, v5.0.5 e v5.0.9 | 10/2018 | numero variabile caratteri casuali | Queste versioni del ransomware sono state rilasciate tutte ad ottobre 2018. L'estensione aggiunta ai file cifrati è composta da un numero variabile di caratteri casuali. Il comportamento e i metodi di diffusione sono analoghi a quelli già visti per le versioni precedenti. |
| GandCrab v5.1 | 01/2019 | caratteri casuali | In questa versione del ransomware viene utilizzato l'algoritmo Salsa20 per cifare i dati. |
Come rimuovere il ransomware
Prima di tentare il recupero dei dati è necessario rimuovere il ransomware. Per rimuoverlo è possibile eseguire la scansione del sistema con un antivirus o antimalware aggiornato. Un buon prodotto gratuito e utile in questi casi è Kaspersky Rescue Disk scaricabile da QUESTA PAGINA. Scaricata l'immagine è possibile masterizzarla su CD\DVD oppure creare una pendrive bootable tramite il tool rescue2USB. Eseguendo il boot con Kaspersky Rescue Disk è possibile fare in modo che l'antivirus scarichi automaticamente da Internet gli aggiornamenti prima di procedere alla scansione dell'intero sistema.
Terminata la scansione ed eliminati eventuali virus trovati, avviare il sistema in modalità provvisoria quindi installare ed eseguire una scansione con una versione di Malwarebytes e/o SpyHunter aggiornata.
Recupero Dati
Pochi giorni fa Bitdefender ha rilasciato una nuova versione del suo tool per decriptare i file cifrati dal ransomware GandCrab fino alla versione 5.1. Il tool può essere scaricato dal seguente link
DOWNLOAD
Il suo utilizzo è molto semplice e non richiede l'installazione:
- Avviare l'eseguibile come amministratore quindi accettare i termini di utilizzo e proseguire cliccando su Continue;
FIG 3 - Bitdefender Decryption Utility for GandCrab, licenza - Una finestra di dialogo ci avvisa che il tool funziona con le versioni 1, 4 e 5 di GandCrab e che per il suo funzionamento è necessario una connessione ad Internet. Cliccare su OK;
FIG 4 - Bitdefender Decryption Utility for GandCrab, richiesta connessione ad Internet - A questo punto possiamo decidere se eseguire una scansione dell'intero sistema alla ricerca di file cifrati dal ransomware (selezionando la casella Scan entire system) oppure indicare noi una specifica cartella contenente i dati da recuperare (cliccando sul pulsante Browse e selezionando la cartella di nostro interesse). Una volta impostato cosa fare cliccare su Start tool;
FIG 5 - Bitdefender Decryption Utility for GandCrab, Impostazioni scansione - Verrà eseguita la scansione alla ricerca dei file cifrati da GandCrab. I file trovati verranno automaticamente decriptati dal tool.
FIG 6 - Bitdefender Decryption Utility for GandCrab - scansione
Purtroppo subito dopo il rilascio del nuovo tool da parte di Bitdefender è stata annunciata sul Dark Web la distribuzione della nuova versione di GandCrab v5.2. Per quest'ultima versione al momento non c'è possibilità di recuperare i dati cifrati.
