Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

InformazioniMalware

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

GandCrab  ransomware   venerdì, 26 ottobre 2018

GandCrab è una famiglia di malware appartenente alla categoria del ransomware che ha visto una costante evoluzione nel corso del 2018. Questo ransomware viene distribuito nel Dark Web in forma di RaaS, è di probabile origine russa ed è stato protagonista di numerosi attacchi, prevalentemente nei paesi scandinavi e in quelli anglofoni.

Nella tabella seguente viene fornita una lista delle varianti finora conosciute di GandCrab con la data di scoperta, l’estensione utilizzata per i file cifrati e il nome del file contenente la nota di riscatto.

Elenco delle varianti conosciute del ransomware GandCrab
Versione Data Estensione Nota di riscatto
GandCrab Gennaio 2018 .GDCB GDCB-DECRYPT.txt
GandCrab v2 Marzo 2018 .CRAB CRAB-DECRYPT.txt
GandCrab V2.1 Aprile 2018 .CRAB CRAB-DECRYPT.txt
GandCrab v3 Aprile 2018 .CRAB CRAB-DECRYPT.txt
GandCrab v4 Luglio 2018 .KRAB KRAB-DECRYPT.txt
GandCrab v4.1 Luglio 2018 .krab krab-decrypt.txt
GandCrab v5.0 Settembre 2018 5 caratteri casuali (es. .UKCZA) [estensione]-DECRYPT.html (es. UKCZA-DECRYPT.html)
GandCrab v5.0.1 Settembre 2018 5 caratteri casuali [estensione]-DECRYPT.txt
GandCrab v5.0.2 Ottobre 2018 10 caratteri casuali (es. .DGDLLEFZTK) [estensione]-DECRYPT.txt (es. DGDLLEFZTK-DECRYPT.txt)
GandCrab v5.0.3 Ottobre 2018 5 caratteri casuali [estensione]-DECRYPT.txt
GandCrab v5.0.4 Ottobre 2018 8 caratteri casuali [estensione]-DECRYPT.txt o [estensione]-DECRYPT.html

Fortunatamente, le vittime di questo ransomware possono ora recuperare i propri file gratuitamente, grazie ad un tool universale sviluppato dalla Polizia Romena in collaborazione con le forze dell’ordine di Bulgaria, Francia, Italia, Paesi Bassi, Polonia, Regno Unito, Ungheria e Stati Uniti, assieme alla società di sicurezza Bitdefender ed Europol.

Il tool (“BDGandCrabDecryptor.exe”) è disponibile sul sito del progetto No More Ransom.

GandCrab Decryptor

Schermata del tool GandCrab Decryptor (fonte: Bitdefender)

Per maggiori informazioni su questo strumento, incluse istruzioni dettagliate per il suo utilizzo, si suggerisce di consultare le seguenti fonti esterne (in Inglese):

Nota: l’efficacia del tool per il recupero dei file menzionato in questo articolo non è stata verificata dal CERT Nazionale e non vi è alcuna garanzia che possa funzionare in tutti i casi.

Come sempre, si raccomanda alle vittime di questo tipo di malware di non pagare MAI le somme richieste dai cybercriminali per non alimentare questo tipo di attività illecite e anche perché non vi è alcuna garanzia di riottenere l’accesso ai propri file.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto

Il nuovo ransomware PyLocky colpisce paesi europei

11 settembre 2018

I ricercatori di sicurezza di Trend Micro hanno scoperto PyLocky, un nuovo esemplare di ransomware distribuito prevalentemente in Germania e Francia.Leggi tutto