Ransomware: Recuperare i file cifrati dai ransomware Maze, Egregor e Sekhmet

I ransomware Maze, Sekhmet ed Egregor criptano i file della vittima usando ChaCha8 e aggiungendo un'estensione casuale. Alle vittime viene fornita una nota su come pagare il riscatto simile a quella mostrata di seguito:

 Attention!  
   
 ----------------------------  
 | What happened?  
 ----------------------------  
   
 We hacked your network and now all your files, documents, photos, databases, and other important data are safely encrypted with reliable algorithms.  
 You cannot access the files right now. But do not worry. You can get it back! It is easy to recover in a few steps.  
   
 We have also downloaded a lot of private data from your network, so in case of not contacting us as soon as possible this data will be released.  
 If you do not contact us in a 3 days we will post information about your breach on our public news website and after 7 days the whole downloaded info.  
   
 To see what happens to those who don't contact us, google:  
 * Southwire Maze Ransomware  
 * MDLab Maze Ransomware  
 * City of Pensacola Maze Ransomware  
   
 After the payment the data will be removed from our disks and decryptor will be given to you, so you can restore all your files.  
   
 ----------------------------  
 | How to contact us and get my files back?  
 ----------------------------  
   
 The only method to restore your files and be safe from data leakage is to purchase a unique for you private key which is securely stored on our servers.   
 To contact us and purchase the key you have to visit our website in a hidden TOR network.  
   
 There are general 2 ways to reach us:  
   
 1) [Recommended] Using hidden TOR network.  
   
  a) Download a special TOR browser: https://www.torproject.org/  
  b) Install the TOR Browser.  
  c) Open the TOR Browser.  
  d) Open our website in the TOR browser: http://aoacugmutagkwctu.onion/[modificato]  
  e) Follow the instructions on this page.   
   
 2) If you have any problems connecting or using TOR network  
   
  a) Open our website: https://mazedecrypt.top/[modificato]  
  b) Follow the instructions on this page.  
   
 Warning: the second (2) method can be blocked in some countries. That is why the first (1) method is recommended to use.   
   
 On this page, you will see instructions on how to make a free decryption test and how to pay.  
 Also it has a live chat with our operators and support team.  
   
 ----------------------------  
 | What about guarantees?  
 ----------------------------  
   
 We understand your stress and worry.  
 So you have a FREE opportunity to test a service by instantly decrypting for free three files from every system in your network.  
 If you have any problems our friendly support team is always here to assist you in a live chat!  
   
 P.S. Dear system administrators, do not think you can handle it by yourself. Inform leadership as soon as possible.  
 By hiding the fact of the breach you will be eventually fired and sometimes even sued.  
 -------------------------------------------------------------------------------  
 THIS IS A SPECIAL BLOCK WITH A PERSONAL AND CONFIDENTIAL INFORMATION! DO NOT TOUCH IT WE NEED IT TO IDENTIFY AND AUTHORIZE YOU  
 ---BEGIN MAZE KEY---  
 [modificato]  
 ---END MAZE KEY---  

Da quando i server del ransomware Maze sono stati spenti nell'ottobre 2020, le vittime hanno sperato nel rilascio delle chiavi di crittazione per il recupero dei dati. Il rilascio è avvenuto questa settimana, dopo quasi 14 mesi. Gli sviluppatori dei ransomware (nel 2020 il gruppo di pirati Maze si è unito ad altri gruppi criminali esperti di ransomware come Egregor), infatti, hanno rilasciato le master key dei ransomware Maze, Egregor e Sekhmet in un post sul forum di BleepingComputer.

La società di sicurezza Emsisoft ha sviluppato e rilasciato in tempi brevi un tool per la decrittazione dei file. Il tool può essere scaricato dal seguente link

DOWNLOAD

Recupero dei file

• Il tool va eseguito come amministratore. Una volta avviato bisogna accettare i termini di licenza cliccando sul pulsante "I Agree" per proseguire.
  

  

  FIG 1 - Emsisoft Termini di licenza

  
  
• Cliccare sul pulsante "Browse" e selezionare la nota di riscatto (generalmente un file di testo con il nome del tipo DECRYPT-FILES.txt) quindi cliccare su "Start".
  

  

  FIG 2 - Emsisoft Decryptor, selezione della nota di riscatto

  
  
• Verrà mostrato un messaggio informativo sui dettagli della crittografia recuperati dalle informazioni contenute all'interno delle note di riscatto. Cliccare su OK.
  

  

  FIG 3 - Decryptor Key Found

  
  
• La scansione e il recupero dei file cifrati viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Tramite il pulsante "Add folder" è possibile aggiungere nuovi percorsi o rimuoverli utilizzando i pulsanti "Remove object(s)", per eliminare quelli selezionati, o "Clear object list" per azzerare l'elenco. All'interno della scheda Options è possibile indicare se mantenere o eliminare i file cifrati una volta decrittati. Dopo aver effettuato le personalizzazioni desiderate è possibile cliccare su "Decrypt" per avviare il processo.
  

  

  FIG 4 - Emsisoft Decryptor for MazeSehkmetEgregor

  
  
• Nella scheda Results verranno mostrati i progressi nel recupero dei file cifrati. Al termine del recupero è possibile salvare il log cliccando sul pulsante "Save log" oppure copiarlo negli appunti cliccando su "Copy log to clipboard".
  
  

  

  FIG 5 - Emsisoft Decryptor Results

  
  

 

Ransomware Ziggy: Decriptare i file

Come visto per tanti ransomware, anche Ziggy blocca l'accesso ai file cifrando il loro contenuto (tramite l'utilizzo degli algoritmi RSA-4096 e AES-256 GCM) e richiedendo un riscatto. In tutte le cartelle contenenti file cifrati viene creato il file "## HOW TO DECRYPT ##.exe", un file eseguibile che visualizza le istruzioni per il pagamento del riscatto. I file cifrati vengono rinominati aggiungendo al nome l'ID della vittima, l'indirizzo email lilmoon1@criptext.com e, infine, l'estensione .ziggy.

Ad esempio il file

foto.jpg

verrà rinominato dal ransomware in qualcosa del tipo

foto.jpg.id=[A235D928].email=[lilmoon1@criptext.com].ziggy

Nel messaggio di riscatto la vittima viene invitata a contattare un indirizzo email indicando il proprio ID per procedere al pagamento del riscatto in Bitcoin. Una volta effettuato il pagamento verranno inviati un tool e relative istruzioni per procedere al recupero dei propri dati. Nel messaggio viene anche indicato che il prezzo da pagare dipende da quanto celermente le vittime contatteranno gli sviluppatori del ransomware facendo intendere che più tempo passa dall'infezione più alto sarà il riscatto. Prima di effettuare il pagamento, alla vittima viene data la possibilità di inviare 5 file che verranno decrittati gratuitamente (una sorta di prova di affidabilità). 

In questi casi dovrebbe essere superfluo ricordare che, avendo a che fare con criminali, il pagamento del riscatto non garantisce il recupero dei dati.

FIG 1 - Ziggy, messaggio del riscatto

Da qualche giorno i server di Ziggy sono stati chiusi e gli sviluppatori, forse anche per le recenti operazioni di polizia contro i ransomware Emotet e Netwalker, hanno deciso di rendere pubbliche le chiavi di decrittazione. Gli sviluppatori del ransomware hanno rilasciato un file SQL contenente, per ciascuna vittima, 3 chiavi da utilizzare per decrittare i dati ed è stato rilasciato anche il relativo tool. 

FIG 2 - File SQL con chiavi di decrittazione

FIG 3 - Decryptor fornito dagli sviluppatori di Ziggy

Il ransomware procedeva a criptare i dati degli utenti con chiavi di cifratura offline nel caso in cui le vittime non fossero connesse ad Internet o nel caso in cui i server C & C non fossero raggiungibili. Gli sviluppatori hanno anche condiviso il codice sorgente del decryptor contenente le chiavi di decrittazione offline.

Grazie alle informazioni e alle chiavi rilasciate, l'esperto di ransomware Michael Gillespie ha creato il tool Emsisoft Decryptor for Ziggy che permette alle vittime di recuperare i propri dati:

• Il tool può essere scaricato da https://www.emsisoft.com/ransomware-decryption-tools/ziggy
• Una volta avviato, per proseguire, è necessario accettare i termini di licenza cliccando sul pulsante Yes.
  

  

  FIG 4 - Decryptor for Ziggy, Licenza

  
  
• Cliccare sull'unico pulsante Browse attivo, selezionare un file crittografato da recuperare quindi cliccare su Start per avviare l'analisi.
  

  

  FIG 5 - Decryptor for Ziggy

  
  
• Al termine dell'analisi verrà visualizzata una finestra di dialogo informativa relativa alle chiavi di decrittazione trovate. Per proseguire cliccare su OK.
  

  

  FIG 6 - Decryptor for Ziggy, Decryption Key found

  
  
• La scansione e il recupero dei file cifrati viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Tramite il pulsante Add folder è possibile aggiungere nuovi percorsi o rimuoverli utilizzando i pulsanti Remove object(s), per eliminare quelli selezionati, o Clear object list per azzerare l'elenco. All'interno della scheda Options è possibile indicare se mantenere o eliminare i file cifrati una volta decrittati. Dopo aver effettuato le personalizzazioni desiderate è possibile cliccare su Decrypt per avviare il processo.
  
  

  

  FIG 7 - Decryptor for Ziggy, Decrypt

  
  
• Nella scheda Results sarà possibile visualizzare i dettagli sull'operazione di recupero in corso.
  

Ransomware Fonix: Decriptare i file

Scoperto dal ricercatore di sicurezza Michael Gillespie  il ransomware Fonix, anche conosciuto come FonixCrypter e XINOF, è stato rilasciato a giugno 2020 ma solo a partire dal mese di novembre dello stesso anno le vittime sono aumentate in maniera significativa. Fonix, come gran parte dei ransomware, provvede a cifrare i file della vittima e a visualizzare una richiesta di riscatto.

I file cifrati vengono rinominati: al nome del file viene aggiunto l'indirizzo email fonix@tuta.io, l'ID della vittima e l'estensione .Fonix. 

Ad esempio un file 

foto.jpg

viene rinominato dal ransomware in

foto.jpg.EMAIL=[fonix@tuta.io]ID=[FE867B00].Fonix

Le istruzioni su come pagare il riscatto risiedono all'interno del file "# How To Decrypt Files #.hta" presente in ogni cartella contenente i dati cifrati.

Nel messaggio di riscatto viene indicato che il ransomware cripta i file utilizzando l'algoritmo di crittografia Salsa20 e la chiave RSA 4098. Per ottenere una chiave di decrittazione, le vittime sono invitate a pagare una certa somma tramite Bitcoin. Per ottenere istruzioni su come acquistare la chiave, alla vittima viene richiesto di inviare un'e-mail a fonix@tuta.io entro 48 ore dall'attacco di Fonix, poiché dopo questo periodo il costo raddoppierà. Prima di effettuare il pagamento, viene offerta la possibilità di inviare un file criptato gratuitamente per la decrittazione. Il messaggio avvisa  di non eliminare o rinominare i file crittografati, né di provare a decifrarli con altri software, perché questo danneggerà permanentemente i dati. 

Ovviamente, trattandosi di criminali, non è garantito che pagando il riscatto si riceva la chiave di decrittazione.

FIG 1 - Ransomware Fonix, richiesta di riscatto

Decriptare i file

A fine gennaio 2021 uno degli admin di Fonix ha comunicato la chiusura dei server utilizzati dal ransomware e ha rilasciato una chiave pubblica insieme ad un tool per la decrittazione dei file. Il tool non è di semplice utilizzo per i meno esperti. Fortunatamente  il team Kaspersky ha aggiornato il suo RakhniDecryptor e le vittime possono facilmente ripristinare i loro dati utilizzando questo strumento.

FIG 2 - Annuncio Fonix Admin

I passaggi da seguire per il recupero dei dati sono semplici:

• Il tool può essere scaricato da https://noransom.kaspersky.com/.
  

  

  FIG 3 - Download Rakhni Decryptor

  
  
• Una volta scaricato il file .zip, estrarre il suo contenuto ed eseguire il file RakhniDecryptor.exe.
• Per proseguire è necessario accettare la licenza di utilizzo cliccando sul pulsante Accept.
  

  

  FIG 4 - Licenza Rakhni Decryptor

  
  
• La scansione viene, di default, effettuata su tutti i dischi e drive removibili connessi al sistema. Cliccando su link Change parameters sarà possibile specificare ulteriori percorsi e indicare se eliminare i file cifrati una volta decrittati (FIG 6).
  

  

  FIG 5 - RakhniDecryptor

  
  

  

  FIG 6 - RakhniDecryptor, Change parameters

  
  
• Nella schermata principale cliccando su Start scan verrà eseguita la scansione dei drive e la decrittazione dei file. Non resta che attendere la fine dell'operazione e la visualizzazione del report.

Ransomware NamPoHyu Virus (MegaLocker Virus): Recupero dati

Una nuova famiglia di ransomware conosciuta con il nome NamPoHyu Virus o MegaLocker Virus è da qualche mese in circolazione. La caratteristica di questo nuovo ransomware è il suo modo di agire leggermente diverso da quelli visti fino ad ora.
Generalmente un ransomware infetta il computer della vittima attraverso uno dei canali di infezione (email, malware, siti infetti,ecc) ed, eseguito in locale sulla macchina compromessa, procede a cifrare i dati. I ransomware di questa nuova famiglia, invece, vengono eseguiti da remoto sul computer di chi esegue l'attacco, ricerca i server samba accessibili, effettua un brute forcing di eventuali password di accesso quindi cifra i dati e crea un file con le informazioni sul riscatto.

Il ransomware è stato individuato per la prima volta a marzo 2019 e identificato con il nome MegaLocker Virus. In poco tempo ha fatto numerose vittime cifrando i dati presenti sui NAS non correttamente configurati. 
Ai file cifrati viene aggiuna l'estensione .crypted e viene creato il file !DECRYPT_INSTRUCTION.TXT contenente le istruzioni per il pagamento del riscatto che varia da 250$ per un utente privato agli 800-1000$ per un'azienda. All'intero delle istruzioni è indicato di contattare l'indirizzo alexshkipper@firemail.cc per il pagamento del riscatto e, per dimostrare di essere un utente privato, viene richiesto di inviare una foto personale (di un compleanno, hobby, in vacanza, ecc).
Ad aprile il nome del ransomware è stato modificato in NamPoHyu Virus e ai file cifrati viene ora aggiunta l'estensione .NamPoHyu.  All'interno delle istruzioni viene indicato un sito TOR a cui collegarsi e reperire informazioni sul pagamento del riscatto.

FIG 1 - NamPoHyu file !DECRYPT_INSTRUCTION.TXT 

La scelta di attaccare i server Samba non è casuale, basta effettuare una semplice ricerca in Shodan (port:445 "SMB Status Authentication: disabled") per individuare oltre 500 mila possibili obiettivi. Il protocollo Samba è molto diffuso ed impiegato per condividere file, cartelle, stampanti in rete anche tra sistemi operativi diversi. Nonostante in passato tale protocollo sia salito più volte agli onori della cronaca per essere stato sfruttato da diversi attacchi informatici (come ad es. nel caso del ransomware WannaCry), continua ad essere configurato e utilizzato in maniera poco sicura.

FIG 2 - Shodan, Ricerca server Samba

Recuperare i dati cifrati da NamPoHyu Virus (MegaLocker Virus)

La nota società di sicurezza Emsisoft, ha sviluppato un tool che consente di decriptare i dati cifrati dal ransomware NamPoHyu Virus (o MegaLocker Virus). Il tool può essere scaricato dal seguente link
DOWNLOAD

Una volta avviato il tool vengono mostrate le condizioni di utilizzo che vanno accettate cliccando sul pulsante Yes per proseguire.

FIG 3 - Emsisoft Decrypter for MegaLocker licenza

Cliccare sul pulsante Browse e selezionare il file !DECRYPT_INSTRUCTION.TXT  quindi cliccare sul pulsante Start.

FIG 4 - Emsisoft Decrypter for MegaLocker, analisi file !DECRYPT_INSTRUCTION.TXT

Terminato il processo il tool visualizza una finestra di dialogo con la chiave per decriptare i dati. 

FIG 5 - Emsisoft Decrypter for MegaLocker, Decryption Key

Cliccando sul pulsante OK nella finestra di dialogo verrà aperta la finestra principale del tool che consente di selezionare la cartella o il disco contenente i file da decriptare.

FIG 6 - Emsisoft Decrypter for MegaLocker, selezione cartelle contenenti i file cifrati

Il processo di recupero dei dati va avviato cliccando sul pulsante Decrypt. La finestra passa automaticamente alla scheda Results dove viene mostrato lo stato dell'operazione di recupero.

FIG 7 - Emsisoft Decrypter for MegaLocker, Procedura completata

Al termine è possibile salvare il log dell'operazione cliccando sul pulsante Save log.


Se la chiave non viene trovata e viene visualizzato il messaggio in FIG 8 è probabile che i dati siano stati cifrati con una variante aggiornata del ransomware. In questi casi non resta che incrociare le dita e attendere una soluzione o una nuova versione del tool.

FIG 8 - Emsisoft Decrypter for MegaLocker, Chiave non trovata

Ransomware Hacked (HKCrypt): Recupero dei dati

Scoperto nel 2017, il ransomware HKCrypt (conosciuto anche con il nome di Hacked) prende di mira gli utenti inglesi, turchi, spagnoli e italiani. I vettori di infezione sono i soliti già visti per gli altri ransomware: email, link a siti compromessi, file infetti, ecc. Una volta installato, il ransomware visualizza una finestra di Windows Update fasulla mentre provvede a cifrare i file della vittima utilizzando l'algoritmo RC4 e aggiungendo a questi l'estensione .hacked. Al termine della procedura visualizza un messaggio come quello mostrato in figura per informare la vittima che i file sono stati cifrati e su come pagare il riscatto.

FIG 1 - Ransomware Hacked (HKCrypt)

Il ransomware crea anche più file contenenti le note per il riscatto in diverse lingue: in inglese (@readme_English.txt o How_to_decrypt_files.txt), spagnolo (@Readme_Spanish.txt), e italiano (@Leggimi_decrypt_Italian.txt). La versione inglese delle note è analoga a quella riportata di seguito:

All of your files were protected by a strong encryption with RSA4096

What happened to my files ?
Decrypting of your files is only possible with the help of private key and decryp

How can i get my files back ? 
the only way to restore your files So, there are two ways you can choose
1- wait for a miracle and get your price doubled
2- or restore your data easy way if you have really valuable data
you better not waste your time, because there is no other way to get your files, except make 
a payment

What should i do next ? Buy decryption key
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of  0.5 BTC to address: 131mixVnmnijg1DPJZrTTakX3qJLpb675o
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at 
payment.hkdecryp@protonmail.com
5. Write subject of your mail with :  HACKED
6. Write content of your mail with : - Restore my files Bitcoin payment : (YOUR BITCOIN 
TRANSACTION ID)


Ad oltre 1 anno e mezzo dalla scoperta del ransomware, l'esperto di sicurezza Michael Gillespie di Emsisoft è riuscito a scovare il punto debole del ransomware Hacked che gli ha permesso di creare un tool per decriptare e recuperare i dati cifrati.

Rimozione del ransomware

Prima di tentare il recupero dei dati è necessario assicurarsi che il ransomware sia stato rimosso dal sistema eseguendo una scansione con un antivirus o antimalware aggiornato. Un buon prodotto gratuito e utile in questi casi è  Kaspersky Rescue Disk scaricabile da QUESTA PAGINA. Scaricata l'immagine è possibile masterizzarla su CD\DVD oppure creare una pendrive bootable tramite il tool rescue2USB. Eseguendo il boot con Kaspersky Rescue Disk è possibile fare in modo che l'antivirus scarichi automaticamente da Internet gli aggiornamenti prima di procedere alla scansione dell'intero sistema.
Terminata la scansione ed eliminati eventuali virus trovati, avviare il sistema in modalità provvisoria quindi installare ed eseguire una scansione con una versione di Malwarebytes e/o SpyHunter aggiornata.

Recupero dei dati

Il tool scritto da Michael Gillespie può essere scaricato dal seguente link
DOWNLOAD

Il tool va eseguito con i privilegi di amministratore. Una volta accettate le condizioni di utilizzo, basta selezionare il disco dove risiedono i file cifrati (o specificare una determinata cartella tramite il pulsante Add folder), cliccare sul tasto Decrypt e attendere che il tool completi il suo lavoro. Al termine, nel tab Results, verranno visualizzate le informazioni sul recupero dei dati cifrati.

FIG 2 - Emsisoft Decrypter for HKCrypt

Ransomware GandCrab: Recupero dei dati

GandCrab, le cui prime segnalazioni risalgono a gennaio 2018, è attualmente una delle famiglie di ransomware più diffuse sul mercato. Il ransomware, di probabile origine russa, viene distribuito nel Dark Web secondo la formula RaaS (Ransomware as a Service) e gli sviluppatori sono molto attivi continuando a rilasciare nuove versioni. La famiglia di GandCrab è composta da numerose varianti del ransomware come GDCB, KRAB, CRAB virus, GandCrab 2, GandCrab 3, GandCrab 4 e GandCrab 5. Le prime le versioni hanno in comune gli algoritmi RSA 2048 e AES 256 per cifrare i dati e dalla versione 5 viene utilizzato anche l'algoritmo SALSA20. Tutte le varianti aggiungono al file cifrato, un'estensione unica. 

FIG 1 - GandCrab Ransomware

Come si diffonde il malware
Il ransomware utilizza diversi vettori per l'infezione tra cui gli exploit kit RIG, GradSoft, Magnitude, Fallout, ALPC Task Scheduler Zero-day inoltre viene distribuito anche tramite email, siti web contenenti malware, crack, keygen e update fasulli e sfruttando le vulnerabilità del sistema. 
Una volta infettato il sistema, il ransomware raccoglie informazioni sulla vittima come il nome utente, il nome del pc, il sistema operativo installato, ecc, quindi provvede alla creazione di un ID univoco e procede a cifrare i file presenti nel sistema. Ai file cifrati viene aggiunta una nuova estensione e la chiave per decriptarli viene salvata, almeno nelle prime versioni, sui server C&C (Command and Control). Al termine del processo l'utente non riuscirà più ad accedere e a visualizzare i propri file e, in ogni cartella, sarà presente un file del tipo GDCB-DECRYPT.txt, KRAB-DECRYPT.txt o [codice ID]-DECRYPT.txt contenente le istruzioni per il pagamento del riscatto (FIG 2). 

FIG 2 - GandCrab, file Decrypt con le istruzioni per il pagamento del riscatto

Versione	Data	Estensione	Note
GandCrab	01/2018	.GDCB	Diffuso prevalentemente tramite email con allegato alla cui apertura viene eseguito il payload che provvede a cifrare i dati dell'utente e a creare il file GDCB-DECRYPT.txt, contenente informazioni per il pagamento del riscatto, sul desktop della vittima. L'entità del riscatto aumenta con il passare del tempo.
GandCrab v2	03/2018	.CRAB	La seconda versione del ransomware è stata rilasciata dopo che un team di esperti di cybersecurity ha rilasciato un tool in grado di decriptare i file cifrati con la prima versione. La nuova versione provvede a cifrare i file utilizzando gli algoritmi AES-256 (CBC mode) e RSA-2048. Il ransomware è stato distribuito attraverso la campagna di malvertising Seamless che porta le vittime ad essere infettate attraverso il kit RIG exploit. Sul desktop viene creato il file CRAB-DECRYPT.txt contenente informazioni per il riscatto.
GandCrab v2.1	04/2018	.CRAB	Il funzionamento è analogo a quello visto per la versione precedente
GandCrab v3	04/2018	.CRAB	Nella sua terza versione il ransomware mantiene le stesse caratteristiche della versione precedente. L'estensione aggiunta ai file cifrati rimane .CRAB e anche il nome del file creato sul desktop rimane invariato (CRAB-DECRYPT.txt). L'unica differenza rilevante è che da questa versione il ransomware non consente più il pagamento del riscatto mediante la criptovaluta DASH ma solo in Bitcoin.
GandCrab v4	07/2018	.KRAB	La quarta versione del ransomware continua ad utilizzare gli algoritmi AES-256 (CBC mode) e RSA-2048 per cifrare i dati della vittima. L'estensione aggiunta ai file cifrati diventa .KRAB. Il file creato sul desktop prende il nome di KRAB-DECRYPT.txt e contiene maggiori informazioni sull'attacco e sulle istruzioni per procedere alla creazione di un wallet per le criptovalute.
GandCrab v4.1	07/2018	.krab	Rilasciata subito dopo la versione 4 apporta alcune modifiche al proprio funzionamento. Da tale versione il ransomware non utilizza più i server di C&C (Command and Control) e l'infezione può avvenire anche senza la connessione ad Internet. Per la sua diffusione il ransomware utilizza l'exploit SMB. La patch MS17-010 previene l'infezione rimediando alla vulnerabilità individuata su SMB e sfruttata da diversi ransomware.
GandCrab v5.0 e v5.0.1	09/2018	5 caratteri casuali	L'estensione aggiunta ai file cifrati è composta da 5 caratteri casuali. Lo stesso dicasi per il file creato sul desktop il cui nome ora è del tipo estensione-DECRYPT.html. A partire dalla versione 5 gli algoritmi utilizzati per cifrare i dati dell'utente sono SALSA20 e RSA-2048.
GandCrab v5.0.2	10/2018	10 caratteri casuali	Questa versione del ransomware è stata distribuita il 1° ottobre 2018. Ai file cifrati viene aggiunta un'estensione di 10 caratteri casuali e il file contenente le istruzioni per il riscatto è del tipo estensione-DECRYPT.htm. L'infezione viene portata a termine tramite il kit Fallout exploit.
GandCrab v5.0.3	10/2018	5 caratteri casuali	L'estensione aggiunta ai file cifrati è composta da 5 caratteri casuali. Lo stesso dicasi per il file creato sul desktop il cui nome ora è del tipo estensione-DECRYPT.html. il ransomware viene distribuito prevalentemente tramite un allegato ad un'email di spam. Nascosto all'interno dell'allegato è presente un file JavaScript (il dropper) chiamato GandCrab 5.0.3 downloader.js che una volta eseguito lancia altri 2 eseguibili dsoyaltj.exe e Wermgr.exe che forniscono al malware privilegi amministrativi e avviano la cifratura dei dati.
GandCrab v5.0.4, v5.0.5 e v5.0.9	10/2018	numero variabile caratteri casuali	Queste versioni del ransomware sono state rilasciate tutte ad ottobre 2018. L'estensione aggiunta ai file cifrati è composta da un numero variabile di caratteri casuali. Il comportamento e i metodi di diffusione sono analoghi a quelli già visti per le versioni precedenti.
GandCrab v5.1	01/2019	caratteri casuali	In questa versione del ransomware viene utilizzato l'algoritmo Salsa20 per cifare i dati.

Come rimuovere il ransomware
Prima di tentare il recupero dei dati è necessario rimuovere il ransomware. Per rimuoverlo è possibile eseguire la scansione del sistema con un antivirus o antimalware aggiornato. Un buon prodotto gratuito e utile in questi casi è  Kaspersky Rescue Disk scaricabile da QUESTA PAGINA. Scaricata l'immagine è possibile masterizzarla su CD\DVD oppure creare una pendrive bootable tramite il tool rescue2USB. Eseguendo il boot con Kaspersky Rescue Disk è possibile fare in modo che l'antivirus scarichi automaticamente da Internet gli aggiornamenti prima di procedere alla scansione dell'intero sistema.
Terminata la scansione ed eliminati eventuali virus trovati, avviare il sistema in modalità provvisoria quindi installare ed eseguire una scansione con una versione di Malwarebytes e/o SpyHunter aggiornata.


Recupero Dati
Pochi giorni fa Bitdefender ha rilasciato una nuova versione del suo tool per decriptare i file cifrati dal ransomware GandCrab fino alla versione 5.1. Il tool può essere scaricato dal seguente link
DOWNLOAD
Il suo utilizzo è molto semplice e non richiede l'installazione: 

• Avviare l'eseguibile come amministratore quindi accettare i termini di utilizzo e proseguire cliccando su Continue;
  

  

  FIG 3 - Bitdefender Decryption Utility for GandCrab, licenza

• Una finestra di dialogo ci avvisa che il tool funziona con le versioni 1, 4 e 5 di GandCrab e che per il suo funzionamento è necessario una connessione ad Internet. Cliccare su OK;
  

  

  FIG 4 - Bitdefender Decryption Utility for GandCrab, richiesta connessione ad Internet

• A questo punto possiamo decidere se eseguire una scansione dell'intero sistema alla ricerca di file cifrati dal ransomware (selezionando la casella Scan entire system) oppure indicare noi una specifica cartella contenente i dati da recuperare (cliccando sul pulsante Browse e selezionando la cartella di nostro interesse). Una volta impostato cosa fare cliccare su Start tool;

  

  FIG 5 - Bitdefender Decryption Utility for GandCrab, Impostazioni scansione

• Verrà eseguita la scansione alla ricerca dei file cifrati da GandCrab. I file trovati verranno automaticamente decriptati dal tool.
  
  

  

  FIG 6 - Bitdefender Decryption Utility for GandCrab - scansione

Purtroppo subito dopo il rilascio del nuovo tool da parte di Bitdefender è stata annunciata sul Dark Web la distribuzione della nuova versione di GandCrab v5.2. Per quest'ultima versione al momento non c'è possibilità di recuperare i dati cifrati.

Ransomare Petya: Rilasciata la master key

L'autore o gli autori del ransomware Petya hanno rilasciato la master key per decriptare i dati cifrati da tutte le versioni del malware che includono:

• Prima versione di Petya (teschio bianco su sfondo rosso visualizzato al boot del sistema);
• Seconda versione di Petya che include il ransomware Mischa (teschio verde su sfondo nero);
• Terza versione conosciuta come GoldenEye (teschio giallo su sfondo nero).

FIG 1 - Schermata visualizzata al boot dalla prima versione di Petya

La master key è stata rilasciata dall'utente Janus attraverso Twitter e può essere scaricata da Mega.nz

FIG 2 - Tweet dell'utente Janus che annuncia il rilascio della master key

Anton Ivanov, ricercatore di sicurezza di Kaspersky, ha verificato e confermato la validità della chiave.



Il ransomware Petya non va confuso con NotPetya che, anche se è nato modificando la versione originale del ransomware Petya, è stato creato da un'altro gruppo e adotta una routine di cifratura diversa.

Ransomware WannaCry: Recuperare i dati criptati

Il ricercatore di sicurezza informatica Adrien Guinet, ha trovato un modo per recuperare la chiave per decriptare i file cifrati dal ransomware WannaCry: Il ransomware genera la chiave pubblica e quella privata sulla macchina della vittima e, a causa di un errore di programmazione, la memoria dove risiedono tali chiavi non viene ripulita ma viene semplicemente contrassegnata come libera. Basandosi su tali informazioni un'altro ricercatore di sicurezza, Benjamin Delpy, ha sviluppato un tool chiamato WannaKiwi che automatizza l'operazione di recupero della chiave privata. 

FIG 1 - WannaCry

Nel caso in cui il sistema sia stato infettato, non riavviarlo o spegnerlo.

• Scaricare WannaKiwi https://github.com/gentilkiwi/wanakiwi/releases e avviare il file eseguibile;
• Il tool cerca autonomamente il file 00000000.pky. Non resta che sperare che la chiave privata non sia stata sovrascritta in memoria e attendere che il tool riesca ad individuarla e a procedere al recupero dei file cifrati con estensione .wncry

WannaKiwi provvede a creare anche i file con estensione .dky fermando, in questo modo, l'infezione di ulteriori file.

Ransomware WannaCry: Come proteggersi

L'attacco informatico eseguito dal ransomware WannaCry (conosciuto anche con i nomi WanaCrypt0r 2.0 o WCry/WannaCry) è di carattere planetario. Il ransomware sfrutta una tecnica utilizzata da EternalBlue/DoublePulsar, uno strumento d'intrusione sviluppato dalla NSA che è stato trafugato e diffuso da alcune organizzazioni criminali. Il malware si diffonde da una rete locale all'altra attraverso Internet sfruttando le condivisione di rete SMB (SAMBA), generalmente attiva di default sui sistemi Windows, pertanto se un PC è stato infettato scollegarlo dalla rete per scongiurare l'infezione di altre postazioni/dispositivi. L'infezione è stata al momento bloccata: WannaCry verifica la presenza di un particolare domino esterno (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) e se non lo trova o non riesce ad accedervi provvede ad infettare il sistema. Il dominio è stato di recente creato per fermare l'infezione ma altre varianti del malware sprovviste di tale controllo si stanno diffondendo.
Purtroppo questo attacco dimostra ancora una volta la scarsa considerazione della sicurezza da parte degli utenti ma soprattutto da parte di molte aziende: sono stati colpite dall'infezione Università, Ospedali, compagnie di telecomunicazioni e persino banche. La patch diffusa da Microsoft che sistema la falla sfruttata dal ransomware è la MS17-010 disponibile già da Marzo. 

I sistemi interessati dal ransomware sono Windows XP, Windows Vista SP2, Windows Server 2008, Windows 7, Windows 8-8.1, Windows Server 2012 e R2, Windows 10, Windows Server 2016 non aggiornati.


Oltre ad installare la patch è opportuno verificare la disabilitazione della funzionalità Supporto per condivisione file SMB 1.0/CIFS come indicato di seguito:

• Da Windows premere la combinazione di tasti WIN+R e, nella finestra Esegui, digitare appwiz.cpl seguito da invio;
• Sul lato sinistro della finestra cliccare su Attivazione o Disattivazione delle funzionalità di Windows
  
  

  

  FIG 1 - Windows, Attivazione o disattivazione delle funzionalità di Windows

• Dall'elenco togliere la spunta alla voce Supporto per condivisione file SMB 1.0/CIFS (SMB1.0/CIFS File Sharing Support) e confermare cliccando su OK
  
  

  

  FIG 2 - Supporto per condivisione file SMB 1.0/CIFS

Per proteggersi da gran parte di virus/ransomware basta seguire pochi e semplici passaggi:

• Tenere sempre il sistema operativo aggiornato. Windows può essere aggiornato sia tramite il tool integrato nel sistema sia installando le patch di sicurezza manualmente scaricandole da http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
• Aggiornare il proprio antivirus/firewall;
• Non aprire email, allegati o file di dubbia provenienza senza prima aver effettuato almeno un controllo con un antivirus aggiornato;
• Eseguire frequenti backup dei dati importanti su supporti esterni è tenerli disconnessi dalla rete.