Ransomware Gandcrab: risolvibile la versione 5. Nuova versione in diffusione

 
 
Il ransomware GandCrab sembra essere uno strumento sul quale i cyber criminali stanno investendo. Siamo ormai alla 5° versione in diffusione, senza considerare quelle di test: alcune sono risolvibili, altre no.
 
Versioni
v.1 .GDCB --> risolvibile
v.2 .crab --> non risolvibile
v.3 .crab --> non risolvibile
v.4 .krab --> non risolvibile
v.5  .[4 caratteri casuali] --> risolvibile
 
In caso di infezione da ransomware GandCrab, scriveteci alla mail alessandro@nwkcloud.it inviando due file criptati e la richiesta di riscatto. I nostri tecnici provvederanno ad analisi del tipo di infezione e potranno indicarvi una soluzione, se disponibile. Altrimenti i vostri file verranno "archiviati" e sarete ricontattati quando sarà disponibile un tool di decriptazione. Ulteriori info su www.decryptolocker.it
 
La versione 5 di GandCrab: evoluzione di un ransomware insidioso
Come si sa, il Ransomware GandCrab ha fatto la sua comparsa nel Gennaio di quest'anno, poi ha subito una serie rapida e ravvicinata di aggiornamenti, fino alla versione 5.0.2 apparsa lo scorso mese. Ad oggi è in diffusione la versione 5.0.3.
 
La versione 5 è stata annunciata il 27 Settembre. Il team dietro a GandCrab ha confermato, per questa versione, lo stesso metodo di distribuzione delle precedenti: per ottenere il ransomware esiste un programma di affiliazione vero e proprio, riservato a soci e nuovi aderenti al progetto, secondo lo schema di estorsione per il quale si opta per la diffusione su larga scala, più che su attacchi mirati. La prospettiva di guadagnare attira infatti molti nuovi affiliati, ma ha anche permesso agli autori di GandCrab di stringere nuove alleanze, rafforzando sia le reti di fornitura sia quelle di distribuzione del malware. Già dalla versione 4 si poteva evincere una di queste alleanze: GandCrab 4 è stato infatti distribuito tramite un exploit kit nuovo, Fallout, evidentemente portato in dote da un altro gurppo. La versione 5 ha confermato la tendenza, dato che lo strumento di diffusione è l'evoluzione del precedente exploit kit, FalloutEK.

Il lancio della versione 5

Ma non finisce qui, dato che il team di GandCrab ora ha nuovi alleati: stiamo parlando del servizio di malware di criptazione NTCrypt. NTCrypt si occupa di una sola mission: offuscare il codice dei malware per consentire loro di evadere le misure di sicurezza degli antivirus. L'alleanza nasce addirittura da quella che potremmo definire una competizione: il team di GandCrab ha lanciato, su alcuni forum del dark web, una "crypt competition" e la crew di NTCrypt ne è risultata vincitrice. 
 
 
Come si diffonde?
La versione 5 di GandCrab usa svariati meccanismi per infettare i sistemi. Il diagramma sottostante illustra il comportamento del ransomware. 
 
Fonte: bleepingcomputer.com

Vettori di diffusione...
tra gli strumenti di diffusione troviamo:
 
  1. Connessioni Remote desktop con password deboli o in vendita nel drak web.
  2. Email di phishing con link o allegati.
  3. Software legittimi "trojanizzati" contenenti il malware, che lo eseguono una volta lanciati.
  4. Exploit kit come Fallout e Rig. 
  5. Botnet come Phorpiex (una vecchia botnet usata sia per diffondere malware che campagne di spam/phishing).
  6. Script Powershell. 
Le versioni.. della versione 5
Questa versione ha due diverse distribuzioni: la prima funziona solo su Windows 7 e successivi a causa di un grosso errore nei tempi di compilazione, la seconda funziona su tutte le versioni più recenti e utilizzate di Windows. Entrambe sono comunque dotate di exploit che tentano di ottenere i privilegi di amministrazionedella macchina.
 
  • Versione 5.0.1 --> risolve solo alcuni bug interni, ma non ci sono modifiche di rilievo.
  • Versione 5.0.2 --> in questa versione l'estensione di criptazione viene modificata in una riga di 5-10 caratteri random. Vengono risolti ulteriori problemi interni.
  • Versione 5.0.3, l'ultima --> si basa sull'ultima versione del ransomware (la 5.0.2, diffusa il 4 ottobre) sebbene alcuni elementi siano comuni anche con versioni precedenti. Con questa versione GandCrab utilizza ben due exploit per tentare di elevare i privilegi nel sistema. Il primo excploit verifica e il sistema operativo in esecuzione sia a 32 o a 64 bit.