lunedì 7 maggio 2018

GandCrab saga: in distribuzione la terza versione del ransomware


E' stata individuata la versione 3 del ransomware GandCrab, in diffusione dal 4 Maggio circa. Non si registrano significativi cambiamenti, a parte l'introduzione dell'immagine di sfondo del desktop per la richiesta di riscatto. Attualmente il ransomware non è risolvibile gratuitamente. 

Come si diffonde...
Secondo gli esperti questa variante viene diffusa attraverso l'exploit kit Magnitude, esattamente come per la variante 2. 


Fonte: EKFiddler Twitter Account
Altri ricercatori però hanno individuato copie della variante 3 in distribuzione tramite email di spam: queste email di spam hanno oggetti come ""Order #88546" e contengono allegati con un downloader VBS responsabile appunto dell'installazione di GandCrab v3. 

Fonte: Fortinet

I cambiamenti nella V.3
Il cambiamento più evidente di questa versione è la modifica del testo della richiesta di riscatto e l'introduzione di uno sfondo desktop (piuttosto scadente tra l'altro). La nota di riscatto si chiama ancora CRAB-DECRYPT.txt (vedi sotto):


Con questa versione poi, a infezione compiuta, il ransomware sostituisce lo sfondo del desktop con uno a bassa risoluzione che invita a leggere la nota di riscatto per capire la situazione e prendere contatto con gli attaccanti per comprare il tool di decriptazione. L'immagine di sfondo è visibile sotto:


Infine, ultima novità, questa versione introduce il dominio carder.bit come server con cui comunica il ransomware.

Il "bug" di GandCrab su Windows 7
Come nella versione precedente, anche questa versione introduce la chiave di registro per l'autorun, accorgimento che consente al ransomware di auto avviarsi ogni volta che l'utente esegue il login. Quando GandCrab viene installato, cripta i file presenti sul computer, imposta l'immagine di sfondo, quindi riavvia automaticamente il PC. Per gli utenti Windows 7 c'è qualche problema: l'autorun causa l'esecuzione del browser e l'apertura del sito web TOR, ma non viene visualizzato il desktop. E' probabilmente un bug di programmazione del ransomware, ma, paradossalmente, può "tornare utile" agli attaccanti per riscuotere il riscatto, dato che potrebbe causare ulteriore panico e maggiori pagamenti di riscatto. 

Nessun commento:

Posta un commento