I ricercatori di sicurezza hanno individuato, già in diffusione con una capillare campagna di spam, la nuova versione del ransomware GandCrab: siamo ormai alla versione 5.1 di questo pericolosissimo ransomware. Il ransomware viene diffuso secondo lo schema classico: la vittima riceve una emal di spam contenente, in allegato, un documento Word dannoso. All'apertura, il documento Word scarica e installa il ransomware da un computer remoto.
Questa campagna è "spinta" da un server già conosciuto dalla comunità dei ricercatori di sicurezza: è lo stesso server che, fino a poco tempo fa, distribuiva il trojan bancario Ursnif e che adesso invece funge da "base di invio" per GandCrab v.5.1.
L'email di spam
L'email è composta secondo alcuni principi di ingegneria sociale: per ingannare il destinatario e convincerlo ad aprire il documento allegato l'email si finge la mappa aggiornata delle uscite di sicurezza dell'edificio del destinatario. Il mittente di quasi tutte queste email risulta essere Rosie L. Ashton, l'oggetto ricorrente è "Up to date emergency exit map". L'allegato, in formato .doc, è rinominato "Emergencyexitmap.doc".
Se l'allegato viene aperto, l'utente visualizzerà un foglio di testo vuoto, fatta eccezione per la scritta "emergency exit map", ed un prompt con la richiesta di abilitazione dei contenuti.
Se l'utente abilita i contenuti, la macro eseguirà uno script PowerShell che scaricherà e installerà sul computer il ransomware GandCrab. Lo script PowerShell contenuto nella macro è altamente offuscato, così da rendere ancora più complesso, perfino ad un occhio esperto, che cosa stia realmente accadendo.
Quando si esegue il deoffuscamento, si nota che la macro scarica un file chiamato putty.exe dall'indirizzo http://cameraista.com/olalala/putty.exe e lo salva in C:\Windows\temp\putty.exe. Quindi il .exe viene eseguito.
Come cripta i file
La variante 5.1 di GandCrab inizia immediatamente la routine di criptazione: non modifica il nome dei file criptati, ma vi aggiunge una estensione di 7 caratteri random.
La nota di riscatto
Al termine della routine di criptazione, viene creata la nota di riscatto in ogni cartella contenente file criptati. La nota fornisce le indicazioni necessarie al pagamento del riscatto.
Attualmente questa versione di GandCrab non è decriptabile: aggiorneremo prossimamente in caso di novità. Ricordiamo, come sempre, di non aprire mail allegati contenuti in email inaspettate o provenienti da mittenti sospetti o sconosciuti. Qualora vi fosse un reale dubbio circa la possibile legittimità dell'email ricevuta, consigliamo di scansionare l'allegato contenuto PRIMA DI APRIRLO tramite il servizio online VirusTotal: la scansione darà utili indicazioni sulla dannosità o meno del file analizzato.
Nessun commento:
Posta un commento