Di nuovo GandCrab: campagna in corso diffonde la v.5.2 del ransomware

La segnalazione proviene di nuovo dal CERT-PA italiano che, nel corso del fine settimana, ha rilevato una campagna di email di spam che diffonde la versione 5.2 del ransomware GandCrab. In questa campagna, GandCrab viene diffuso tramite email contenenti un allegato .doc, contenente a sua volta una macro dannosa.

La macro è altamente offuscata per ridurre le possibilità di individuazione da parte delle soluzioni di sicurezza: una volta eseguita tenta immediatamente il download di un file rinominato "it.txt", dal percorso hXXp://134[.]209[.]88[.]23/it.txt. Una volta scaricato il file, lo esegue tramite cmstp.exe (MS Connection Manager Profile Installer) coi parametri
/ns --> questo parametro specifica che non deve essere creata un'icona sul desktop
/s --> specifica che l'installazione o la disinstallazione deve avvenire "silenziosamente", ovvero senza che venga visualizzato alcun prompt per richiedere permissioni all'utente.

Una volta installato, il ransomware esegue alcune verifiche preliminari prima di avviare la routine di criptazione: in prima battuta verifica se sulla macchina compromessa sono presenti processi relativi a soluzioni antivirus.

Nello specifico viene verificata la presenza, sul dispositivo infetto, dei seguenti antivirus:
Kaspersky
ESET
AntiVir
Avast
Norton
McAfee
Panda
Sygate Firewall
Kerio Personal Firewall
Trendmicro
F-Secure
Comodo
Windows Defender
La seconda verifica è relativa direttamente all'host compromesso: vengono raccolte una serie di informazioni. Sotto il codice responsabile di tali operazioni:

Ecco i dati raccolti:
pc_user = UTENTE
pc_name = NOME DELL'HOST
pc_group = GRUPPO DI LAVORO
pc_lang = it-IT
os_major= SISTEMA OPERATIVO
os_bit= 32 BIT, 64 BIT
ransom_id= 15 CARATTERI CASUALI
L'ultima verifica serve a individuare eventuali cartelle condivise sul sistema target. Quindi avviene la criptazione: il ransomware censisce i file e li cripta, cambia lo sfondo del desktop con una immagine contenenti informazioni per l'utente-vittima, copia la nota di riscatto (“IIPTHBGFBL-MANUAL.txt") e esegue una ultima verifica per avere la certezza che sul disco sia presente la nota di riscatto.

Il CERT-PA fornisce questo elenco di file target:

L'immagine di sfondo del Desktop

L'ultima operazione, a concludere le operazioni di criptazione è la rimozione delle copie shadow dei file tramite il comando "wmic.exe shadowcopy delete" (per impedire il ripristino dei file criptati) e l'invio delle informazioni raccolte al server hXXp://www[.]kakaocorp[.]link/.

La diffusione
Stando ai dati in possesso del CERT-PA questa campagna è mirata contro target High Tech principalmente locati in Europa.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy