Scoperta in the wild, quindi già in diffusione contro utenti reali, una nuova variante del noto ransomware GandCrab. Questo ransomware, ormai alla 2 versione, bersaglia sopratutto paesi anglofoni e scandinavi.
La versione 2.1
Viene diffusa principalmente attraverso email dannose recanti allegati mascherati da documenti PDF legittimi e archiviati entro file compressi in formato .7z. Il nome dell'allegato in questione è diverso da email a email, ma segue comunque uno schema ricorrente: "DOC[numeri casuali]-PDF.7z.
Solitamente l'oggetto delle email fa riferimento a invio di documenti importanti, ricevute di pagamenti, ordini di vario tipo, ticket e buoni sconto ecc...Una tecnica pensata propri per ingannare l'utente e convincerlo a scaricare l'archivio compresso, estrarne i file contenuti ed eseguirli...
Solitamente l'oggetto delle email fa riferimento a invio di documenti importanti, ricevute di pagamenti, ordini di vario tipo, ticket e buoni sconto ecc...Una tecnica pensata propri per ingannare l'utente e convincerlo a scaricare l'archivio compresso, estrarne i file contenuti ed eseguirli...
Come cripta i file
Se la vittima scarica e decomprime l'allegato, il codice Javascript contenuto crea un eseguibile dannoso che viene salvato nella cartella “%AppData%”: questo eseguibile contiene appunto il codice del ransomware GandCrab. Tra quelli analizzati, uno di questi eseguibili recava come nome “RoamingiqB44.Exe”.
Lo stesso script aggiunge anche la chiave di registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Lo script serve a lanciare automaticamente il ransomware all'avvio del computer. A questo punto il ransomware viene eseguito: GandCrab tenta subito di connettersi ad uno dei vari server di Comando e Controllo codificati al suo interno. La criptazione avviene usando l'algoritmo di cifratura RSA, che non altera tutto il file, ma solo una parte, quella sufficiente a rendere inutilizzabile dall'utente. Ogni file viene criptato utilizzando una chiave unica, il che rende molto molto difficile procedere alla decriptazione dei file stessi.
I file che vengono criptati non vengono rinominati, ma il ransomware ne modifica l'estensione in .CRAB.
Quali file cripta...
nel codice GandCrab ospita anche informazioni riguardanti il tipo di file target: GandCrab 2.1 infatti non cripta tutti i file che incontra, ma solo le estensioni file contenute nel suo codice. Ecco sotto l'elenco:
.PNG, .PSD, .PSPIMAGE, .TGA, .THM, .TIF, .TIFF, .YUV, .AI, .EPS, .PS, .SVG, .INDD, .PCT, .PDF, .XLR, .XLS, .XLSX, .ACCDB, .DB, .DBF, .MDB, .PDB, .SQL, .APK, .APP, .BAT, .CGI, .COM, .EXE, .GADGET, .JAR, .PIF, .WSF, .DEM, .GAM, .NES, .ROM, .SAVCADFiles, .DWG, .DXFGISFiles, .GPX, .KML, .KMZ, .ASP, .ASPX, .CER, .CFM, .CSR, .CSS, .HTM, .HTML, .JS, .JSP, .PHP, .RSS, .XHTML.DOC, .DOCX, .LOG, .MSG, .ODT, .PAGES, .RTF, .TEX, .TXT, .WPD, .WPS, .CSV, .DAT, .GED, .KEY, .KEYCHAIN, .PPS, .PPT, .PPTX, .INI, .PRFEncodedFiles, .HQX, .MIM, .UUE, .7Z, .CBR, .DEB, .GZ, .PKG, .RAR, .RPM, .SITX, .TAR.GZ, .ZIP, .ZIPX, .BIN, .CUE, .DMG, .ISO, .MDF, .TOAST, .VCDSDF, .TAR, .TAX2014, .TAX2015, .VCF, .XMLAudioFiles, .AIF, .IFF, .M3U, .M4A, .MID, .MP3, .MPA, .WAV, .WMAVideoFiles, .3G2, .3GP, .ASF, .AVI, .FLV, .M4V, .MOV, .MP4, .MPG, .RM, .SRT, .SWF, .VOB, .WMV3D, .3DM, .3DS, .MAX, .OBJR.BMP, .DDS, .GIF, .JPG, .CRX, .PLUGIN, .FNT, .FON, .OTF, .TTF, .CAB, .CPL, .CUR, .DESKTHEMEPACK, .DLL, .DMP, .DRV, .ICNS, .ICO, .LNK, .SYS, .CFG
La nota di riscatto
In ogni cartella contenente file criptati, GandCrab 2.1 memorizza il file di testo " “CRAB-DECRYPT.txt”, contenente appunto la nota di riscatto.
I link contenuti nella nota di riscatto rimandano ad un portale Web (vedi sotto) dove è possibile pagare la cifra richiesta (circa 1400 dollari), pagabili in due cripto valute, Bitcoin o DASH.
Pagato il riscatto la vittima dovrebbe ottenere il tool per decifrare i file presi in ostaggio, ma non c'è alcuna assicurazione su questo: consigliamo sempre di non pagare la richiesta di riscatto.
Come ti aiuta Quick Heal?
Quick Heal individua l'eseguibile dannoso come Trojan.Obfuscator e lo blocca, impedendo l'infezione del computer. Ricordiamo comunque di non scaricare mai allegati contenuti in email impreviste, sospette e dal mittente sconosciuto.