mercoledì 4 luglio 2018

Saga GandCrab: in diffusione la versione 4.


Durante il weekend il ransomware GandCrab ha subito molteplici cambiamenti. Tra questi l'estensione che il ransomware aggiunge ai file criptati, la nota di riscatto, il sito di pagamento Tor e l'algoritmo di criptazione. Attualmente la versione 4 di GandCrab non ha soluzione. 

In diffusione su siti web fake
Secondo alcuni ricercatori, riuniti sotto il nome di Fly, uno dei metodi di distribuzione di GandCrab V.4 vede l'uso di falsi siti web che offrono software crackati. Gli sviluppatori del ransomware hanno hackerato cioè siti legittimi e impostato falsi blog che offrono al download crack per svariati software. Quando un utente scarica ed esegue queste crack, si ritroverà il computer infetto. Sotto un esempio di questi falsi blog: 


Fonte: bleepingcomputer.com
Un cambiamento importante quindi: la famiglia GandCrab si è infatti contraddistinta nel tempo per l'uso di vari exploit kit, tra i quali, sopratutto, Magnitude e RIG (vedi qui e qui). 

GandCrab usa l'algoritmo di criptazione Salsa20
Le analisi condotte su alcuni campioni della versione 4 hanno mostrato come GandCrab sia passato all'algoritmo di criptazione Salsa20. Così conferma Marcelo Rivero, tra i primi ad aver individuato la sostituzione dell'algoritmo di criptazione.

Come cripta i file?
Quando GandCrab viene eseguito, per prima cosa avvierà la scansione del computer in cerca di qualsiasi condivisione di rete contenente file da criptare. Una volta eseguita la scansione per le condivisioni di rete, produrrà una lista di tutte le condivisioni di rete, sia quelle mappate sia quelle non mappate. 

Per quanto riguarda la criptazione, il ransomware modifica l'estensione dei file aggiungendovi l'estensione .KRAB: non ne modifica invece il nome. Sotto un esempio di file criptati:

Fonte: bleepingcomputer.com

La nota di riscatto
Conclusa la routine di criptazione, il ransomware creerà la nota di riscatto KRAB-DECRYPT.txt: questo file di testo contiene le informazioni riguardo a cosa sia succeso ai file, un sito TOR (gandcrabmfe6mnef.onion) per ricevere le istruzioni di pagamento e altre informazioni criptate che servono ai gestori del ransomware di recuperare le chiavi di criptazione.


La pagina TOR
Il sito per il pagamento del riscatto, ospitato appunto sulla rete TOR, mostra l'ammontare del riscatto, un conto alla rovescia e le istruzioni per il pagamento. Attualmente il riscatto richiesto è molto alto: 1200 dollari americani circa, da pagarsi nella cripto valuta DASH (DSH). 


Il sito prevede persino una sezione dalla quale è possibile inviare un messaggio agli sviluppatori del ransomware e decriptare un file gratuitamente, a riprova del corretto funzionamento del tool di decriptazione. 


Buone abitudini per proteggersi dai ransomware 
Qualche consiglio per difendersi dai ransomware: innanzitutto, sarebbe buona regola avere sempre un backup, affidabile e testato, dei propri dati da ripristinare in caso di emergenza. Oltre a ciò, per difendersi da potenziali violazioni, sarebbe opportuno seguire una serie di accorgimenti:
  • Non aprire allegati provenienti da mittenti sconosciuti.
  • Evitare di aprire gli allegati fino a che l’identità del mittente non viene confermata.
  • Eseguire la scansione degli allegati.
  • Assicurarsi di eseguire gli aggiornamenti di Windows non appena vengono resi disponibili. Lo stesso vale per tutti gli altri tipi di programmi ed in particolare per Java, Flash ed Adobe Reader. I programmi più datati presentano infatti maggiori vulnerabilità rispetto a quelli aggiornati in tempi recenti, diventando così una facile preda per i cyber criminali.
  • Assicurarsi di aver installato un software di sicurezza con protezione multi-livello.
  • Utilizzare password più complesse ed evitare di impostare la stessa su siti o servizi diversi.
Indicatori di compromissione:File associati al ransomware GandCrab V.4: KRAB-DECRYPT.txt

Nessun commento:

Posta un commento