mercoledì 7 marzo 2018

Ransomware GandCrab: sconfitta la prima versione, c'è già la seconda in diffusione.


La scorsa settimana è stato diffuso il tool di decriptazione per la prima versione del ransomware GandCrab, grazie ad una operazione della Polizia Rumena e dell'Europol che, ottenuto l'accesso ai server Command e Control del ransomware stesso, ha permesso il recupero di alcune chiavi di decriptazione delle vittime. 

Gli sviluppatori di GandCrab, dopo la violazione subita, hanno annunciato la messa in diffusione di una seconda versione includente server command & control più sicuri così da prevenire operazioni simili che possano compromettere la diffusione del ransowmare. 

La seconda versione

La nuova versione di GandCrab è stata individuata ieri e contiene alcuni cambiamenti utili a renedere più stabile e sicuro il ransomware e a differenziarlo dalla versione originale. Attualmente non ha soluzione.

I cambiamenti di GandCrab 2.
Il cambiamento principale sembra la modifica dell'hostname del server C&C del Ransomware, che ora è politiaromana.bit "in onore" della Polizia Romena che ha assistito i ricercatori di sicurezza nel recupero delle chiavi di criptazione delle vittime, malwarehunterteam.bit in "onore" dei ricercatori di sicurezza esecutori dell'attacco ai server C&C e gdcb.it. Il ransomware, prima di avviare la criptazione dei file, deve accedere a questi server C&C.

Un altro cambiamento importante è la modifica dell'estensione che il ransomware aggiunge ai file che cripta, dopo l'estensione originaria: .CRAB appunto. Per sempio il file casa.pdf diventa casa.pdf.CRAB.


La nota di riscatto ha un nuovo nome e contenuti diversi: la nuova nota si chiama CRAB-Decrypt.txt e ora include le istruzioni per contattare gli sviluppatori del ransomware tramite il servizio di istant messaging Tox. 


Infine la pagina di Pagamento Tor di GandCrab ha subito forti modifiche: la nuova pagina ha un layout diverso e differenti istruzioni per le vittime. 


File associati
CRAB-DECRYPT.txt

Nessun commento:

Posta un commento