Quick Heal Threat Report – un approfondimento sul ransomware GandCrab

Il più importante e dannoso ransomware del 2018 è stato indubbiamente GandCrab. Individuato all’inizio del gennaio 2018, questo ransomware infettò oltre 48.000 nodi in meno di un mese. Un’infezione massiva che mise immediatamente in allarme l’Europol e la convinse ad attaccare i server di GandCrab per sottrarne le chiavi di criptazione. Da allora GandCrab ha continuato ad evolversi ed aggiornarsi, lanciando in pochi mesi ben 5 diverse varianti (con svariate sottovarianti), diventando un serio rischio per gli utenti. A conferma della sempre maggiore rilevanza di GandCrab arriva anche il fatto che gli stessi siti web compromessi usati in questi ultimi mesi per la distribuzione di Emotet (il trojan bancario “protagonista” del 2018) hanno iniziato a diffondere il ransomware GandCrab v.5.1.

Un pò di storia… le versioni di GandCrab

GandCrab Versione 1 –>
Estensione di criptazione: .GDCB
GandCrab è stato il primo ransomware a richiedere la criptovaluta Dash. La v.1 termina Office, i database e altri importanti processi come le applicazioni email, quindi avvia la routine di criptazione: un sistema per aumentare la certezza di non lasciare in chiaro sulla macchina infetta nessun file importante. Per la criptazione dei file è in uso l’algoritmo AES-256 e la chiave AES_256 è a sua volta criptata con l’algoritmo RSA-2048.

Il server di comando e controllo di questa versione era poco protetto. L’intero processo di criptazione dipendeva dalla connettività ad internet, quindi la routine non si avviava fino a quando il ransomware non avesse trovato un server: un difetto che ha permesso ad alcuni utenti esperti di rimuovere il malware semplicemente disconnettendosi dalla rete e ripulendo la macchina. Nel tardo Febbraio 2018 fu rilasciato il tool di decriptazione per questa versione.

GandCrab Versione 2 –>
Estensione di criptazione: .CRAB
il primo problema risolto è stato quello della scarsa protezione del server dei C&C. Le chiavi e i dati furono spostati su un dominio di primo livello .Bit (indipendente da ICANN), dominio adottato dalla criptovaluta Namecoin. GandCrab v.2 inserisce la voce autorun nella chiave di registro RunOnce. Anche questa versione è strettamente dipendente dalla connettività internet: senza trovare ubn server a cui connettersi infatti la routine non si avvia.

GandCrab Versione 3 –>
Estensione di criptazione: .crab
in questa versione non si registrano cambiamenti evidenti, a parte l’introduzione di una immagine contenente la richiesta riscatto come sfondo del desktop. Ha confermato quindi l’utilizzo della voce di autorun nella chiave di registro RunOnce.

Ha un bug di non poco conto: non si esegue correttamente su PC che eseguono il sistema operativo Windows 7. Un problema serio, non tanto per gli attaccanti, quanto per le vittime: il bug impedisce infatti agli utenti di Windows 7 di accedere al proprio desktop.

GandCrab Versione 4 –>
Estensione di criptazione: .KRAB
conferma l’utilizzo della criptovaluta Dash, ma cambia algoritmo di criptazione: da AES passa a Salsa20 per la criptazione dei file. Il grande vantaggio di Salsa20 è che rende molto più rapido il processo di criptazione. La chiave Salsa20 viene poi criptata con l’algoritmo RSA-2048, cosa che rende impossibile la criptazione senza la chiave privata. Questa volta il processo di criptazione non attende alcuna risposta da server di C&C: si avvia in ogni caso. La distribuzione avviene principalmente tramite siti web compromessi.

GandCrab Versione 5 –>
Estensione di criptazione: .caratteri random
cripta i file aggiungendovi una serie di caratteri random come estensione: si impedisce così agli antivirus di individuare l’infezione dall’estensione. Viene aggiunta la nota di riscatto in formato HTML. Sono state diffuse svariate sotto-versioni: 5.0.4, 5.0.5, 5.1.

Qualche giorno fa è stata divulgata la notizia che, per le versioni dalla 4.0 alla 5.1, vi sia una possibile soluzione: nelle stesse ore in cui alcuni ricercatori di sicurezza annunciavano questa buona notizia, gli sviluppatori dietro GandCrab mettevano in diffusione la V. 5.2, che attualmente non ha soluzione.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy