Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperta nuova variante del ransomware GandCrab

GandCrab  ransomware   martedì, 24 aprile 2018

È stata recentemente individuata in-the-wild una nuova variante del noto ransomware GandCrab, un malware di probabile origine russa, distribuito nel Dark Web e avente come bersagli principalmente i paesi scandinavi e quelli anglofoni.

Questa nuova versione, GandCrab v2.1, viene diffusa principalmente mediante Email malevole con allegati file JavaScript. Questi file sono mascherati da documenti PDF legittimi e archiviati in file compressi con estensione “.7z”. Il nome dell’allegato segue lo schema “DOC[numeri casuali]-PDF.7z” (ad es. “DOC249127923-PDF.7z”). L’oggetto delle Email fraudolente fa riferimento all’invio di documenti, ricevute di pagamenti, ordini, ticket, ecc.

Se la vittima scarica, decomprime e apre l’allegato, il codice JavaScript crea un eseguibile malevolo nella directory “%AppData%” contenente il codice del ransomware GandCrab. Uno degli esemplari analizzati aveva nome “RoamingiqB44.Exe”. Allo scopo di lanciare automaticamente il malware all’avvio della macchina, lo script aggiunge una voce alla seguente chiave di registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Una volta lanciato sul PC della vittima, GandCrab 2.1 tenta di connettersi ad uno dei server C&C codificati al suo interno. La tecnica di cifratura dei file è piuttosto standard per questo tipo di codice malevolo. Viene utilizzato l’algoritmo di cifratura RSA per alterare solo una porzione dei file originali, sufficiente per renderli inutilizzabili dall’utente. Ogni file viene cifrato utilizzando una chiave unica, il che li rende molto più difficili da decifrare.

GandCrab 2.1 cifra tutti i file con le seguenti estensioni:

.PNG, .PSD, .PSPIMAGE, .TGA, .THM, .TIF, .TIFF, .YUV, .AI, .EPS, .PS, .SVG, .INDD, .PCT, .PDF, .XLR, .XLS, .XLSX, .ACCDB, .DB, .DBF, .MDB, .PDB, .SQL, .APK, .APP, .BAT, .CGI, .COM, .EXE, .GADGET, .JAR, .PIF, .WSF, .DEM, .GAM, .NES, .ROM, .SAVCADFiles, .DWG, .DXFGISFiles, .GPX, .KML, .KMZ, .ASP, .ASPX, .CER, .CFM, .CSR, .CSS, .HTM, .HTML, .JS, .JSP, .PHP, .RSS, .XHTML.DOC, .DOCX, .LOG, .MSG, .ODT, .PAGES, .RTF, .TEX, .TXT, .WPD, .WPS, .CSV, .DAT, .GED, .KEY, .KEYCHAIN, .PPS, .PPT, .PPTX, .INI, .PRFEncodedFiles, .HQX, .MIM, .UUE, .7Z, .CBR, .DEB, .GZ, .PKG, .RAR, .RPM, .SITX, .TAR.GZ, .ZIP, .ZIPX, .BIN, .CUE, .DMG, .ISO, .MDF, .TOAST, .VCDSDF, .TAR, .TAX2014, .TAX2015, .VCF, .XMLAudioFiles, .AIF, .IFF, .M3U, .M4A, .MID, .MP3, .MPA, .WAV, .WMAVideoFiles, .3G2, .3GP, .ASF, .AVI, .FLV, .M4V, .MOV, .MP4, .MPG, .RM, .SRT, .SWF, .VOB, .WMV3D, .3DM, .3DS, .MAX, .OBJR.BMP, .DDS, .GIF, .JPG, .CRX, .PLUGIN, .FNT, .FON, .OTF, .TTF, .CAB, .CPL, .CUR, .DESKTHEMEPACK, .DLL, .DMP, .DRV, .ICNS, .ICO, .LNK, .SYS, .CFG

I file cifrati non vengono rinominati. Questa variante di GandCrab aggiunge ai file cifrati l’estensione “.CRAB”. Nelle cartelle contenenti i file cifrati, questo ransomware memorizza il file di testo “CRAB-DECRYPT.txt” contenente la nota di riscatto. Il testo completo della nota di riscatto di GandCrab 2.1 è contenuto nel seguente file allegato (indirizzi offuscati):

I link contenuti nella nota di riscatto conducono la vittima verso il portale Web (vedi immagine) dove è possibile pagare la cifra richiesta, che ammonta a 1400$ pagabili mediante le criptovalute Bitcoin o DASH.

Sito ransomware GangCrab

Una volta pagato il riscatto, la vittima sarà in grado di ottenere il tool per decifrare i file presi in ostaggio da GandCrab. Come sempre, si raccomanda alle vittime di questo tipo di malware di non pagare MAI le somme richieste dai cybercriminali per non alimentare questo tipo di attività illecite e anche perché non vi è alcuna garanzia di riottenere l’accesso ai propri file.

Al momento, nessuno degli antivirus più diffusi sembra in grado di riconoscere questa specifica variante di GandCrab.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto