Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

GandCrab 2.1: in diffusione un nuovo ransomware tramite email di spam.
- VENERDÌ 27 APRILE 2018


Scoperta in the wild, quindi già in diffusione contro utenti reali, una nuova variante del noto ransomware GandCrab. Questo ransomware, ormai alla 2 versione, bersaglia sopratutto paesi anglofoni e scandinavi. 

La versione 2.1
Viene diffusa principalmente attraverso email dannose recanti allegati mascherati da documenti PDF legittimi e archiviati entro file compressi in formato .7z. Il nome dell'allegato in questione è diverso da email a email, ma segue comunque uno schema ricorrente: "DOC[numeri casuali]-PDF.7z.

Solitamente l'oggetto delle email fa riferimento a invio di documenti importanti, ricevute di pagamenti, ordini di vario tipo, ticket e buoni sconto ecc...Una tecnica pensata propri per ingannare l'utente e convincerlo a scaricare l'archivio compresso, estrarne i file contenuti ed eseguirli...

Come cripta i file
Se la vittima scarica e decomprime l'allegato, il codice Javascript contenuto crea un eseguibile dannoso che viene salvato nella cartella “%AppData%”: questo eseguibile contiene appunto il codice del ransomware GandCrab. Tra quelli analizzati, uno di questi eseguibili recava come nome “RoamingiqB44.Exe”. 

Lo stesso script aggiunge anche la chiave di registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Lo script serve a lanciare automaticamente il ransomware all'avvio del computer. A questo punto il ransomware viene eseguito: GandCrab tenta subito di connettersi ad uno dei vari server di Comando e Controllo codificati al suo interno. La criptazione avviene usando l'algoritmo di cifratura RSA, che non altera tutto il file, ma solo una parte, quella sufficiente a rendere inutilizzabile dall'utente. Ogni file viene criptato utilizzando una chiave unica, il che rende molto molto difficile procedere alla decriptazione dei file stessi. 

I file che vengono criptati non vengono rinominati, ma il ransomware ne modifica l'estensione in .CRAB. 


Quali file cripta...
nel codice GandCrab ospita anche informazioni riguardanti il tipo di file target: GandCrab 2.1 infatti non cripta tutti i file che incontra, ma solo le estensioni file contenute nel suo codice. Ecco sotto l'elenco:

.PNG, .PSD, .PSPIMAGE, .TGA, .THM, .TIF, .TIFF, .YUV, .AI, .EPS, .PS, .SVG, .INDD, .PCT, .PDF, .XLR, .XLS, .XLSX, .ACCDB, .DB, .DBF, .MDB, .PDB, .SQL, .APK, .APP, .BAT, .CGI, .COM, .EXE, .GADGET, .JAR, .PIF, .WSF, .DEM, .GAM, .NES, .ROM, .SAVCADFiles, .DWG, .DXFGISFiles, .GPX, .KML, .KMZ, .ASP, .ASPX, .CER, .CFM, .CSR, .CSS, .HTM, .HTML, .JS, .JSP, .PHP, .RSS, .XHTML.DOC, .DOCX, .LOG, .MSG, .ODT, .PAGES, .RTF, .TEX, .TXT, .WPD, .WPS, .CSV, .DAT, .GED, .KEY, .KEYCHAIN, .PPS, .PPT, .PPTX, .INI, .PRFEncodedFiles, .HQX, .MIM, .UUE, .7Z, .CBR, .DEB, .GZ, .PKG, .RAR, .RPM, .SITX, .TAR.GZ, .ZIP, .ZIPX, .BIN, .CUE, .DMG, .ISO, .MDF, .TOAST, .VCDSDF, .TAR, .TAX2014, .TAX2015, .VCF, .XMLAudioFiles, .AIF, .IFF, .M3U, .M4A, .MID, .MP3, .MPA, .WAV, .WMAVideoFiles, .3G2, .3GP, .ASF, .AVI, .FLV, .M4V, .MOV, .MP4, .MPG, .RM, .SRT, .SWF, .VOB, .WMV3D, .3DM, .3DS, .MAX, .OBJR.BMP, .DDS, .GIF, .JPG, .CRX, .PLUGIN, .FNT, .FON, .OTF, .TTF, .CAB, .CPL, .CUR, .DESKTHEMEPACK, .DLL, .DMP, .DRV, .ICNS, .ICO, .LNK, .SYS, .CFG

La nota di riscatto
In ogni cartella contenente file criptati, GandCrab 2.1 memorizza il file di testo " “CRAB-DECRYPT.txt”, contenente appunto la nota di riscatto. 


I link contenuti nella nota di riscatto rimandano ad un portale Web (vedi sotto) dove è possibile pagare la cifra richiesta (circa 1400 dollari), pagabili in due cripto valute, Bitcoin o DASH. 



Pagato il riscatto la vittima dovrebbe ottenere il tool per decifrare i file presi in ostaggio, ma non c'è alcuna assicurazione su questo: consigliamo sempre di non pagare la richiesta di riscatto. 

Come ti aiuta Quick Heal?
Quick Heal individua l'eseguibile dannoso come Trojan.Obfuscator e lo blocca, impedendo l'infezione del computer. Ricordiamo comunque di non scaricare mai allegati contenuti in email impreviste, sospette e dal mittente sconosciuto. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 12 LUGLIO 2019
ALERT: il malware Agent Smith fa strage di smartphone Android
Siamo proprio sicuri che il WhatsAPP che stiamo usando in questo momento sul nostro smartphone Android sia quello vero? Siamo sicuri che stia realmente funzionando come c...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login