Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Diffusa nuova versione di GandCrab. Che annuncia già la prossima
- MERCOLEDÌ 19 DICEMBRE 2018



GandCrab è in diffusione dall'ultima settimana del Gennaio 2018. In questo lasso di tempo il ransomware ha ben imparato dai suoi errori e i suoi sviluppatori hanno attirato decisamente l'attenzione di molti ricercatori di sicurezza. Dal trasferimento dei propri server al Top Level Domain (.BIT TLD) di Namecoin dopo il primo breach fino alla correzione di svariati errori nei meccanismi di criptazione, passando per la risoluzione di problematiche nei processi di comunicazione, GandCrab continua costantemente a migliorarsi e potenziarsi. Come osservato recentemente, la versione più recente (GandCrab 5.0) ha infettato da sola un numero di macchine ben superiore a quanto racimolato dalle precedenti versioni. 

La versione 5.0.9 è stata denunciata pubblicamente nella prima settimana del Dicembre 2018 ed ha mostrato un comportamento molto simile alle altre versioni del GandCrab 5.0. La particolarità di questa versione, forse per assicurarsi di non cadere nel dimenticatoio, è il fatto che mostra una finestra contenente il messaggio ‘We will become back very soon! ;)’


Vettore d'infezione
GandCrab si diffonde tramite campagne di email di spam contenenti allegati dannosi, ma anche tramite campagne di "sexstortion". I file .doc allegati recano nomi pensati per convincere gli utenti della genuinità e legittimità del file e dell'email, così da "abbassare la guardia" delle potenziali vittime e convincerle quindi a abilitare la macro o scaricare l'update del plugin. In entrambi i casi i file dell'utente finiscono criptati. 

Inizialmente GandCrab raccoglie tutti i dati relativi all'utente, come cognome, nome del computer, gruppo di lavoro, indirizzo IP ecc...stoccando poi tutte le informazioni come "PCData" in forma criptata: questi dati saranno usati per l'identificazione della macchina infetta. Subito dopo, ma ancora prima di avviare l'eseguibile principali, GandCrab verifica la presenza sul sistema bersaglio di eventuali antivirus con processi attivi. 


Per conoscere i drive presenti sulla macchina, verifica tutte le lettere dell'alfabeto: raccolte tutte queste informazioni, il ransomware le cripta con l'algoritmo RC4. Successivamente questi dati saranno di nuovo convertiti in base64 e allegati alla nota di riscatto nella sezione PCData. 

Per quanto riguarda l'estensione aggiunta ai file criptati, anche questa versione conferma l'uso di stringhe casuali a lunghezza fissa, fino ad un massimo di 13 caratteri. 

Chiavi di criptazione
Il payload principale contiene la chiave pubblica RSA che è criptata usando l'algoritmo Salsa20, pur in una forma personalizzata. Vengono quindi create due chiavi di registro:
  • SOFTWARE/key__dats/dats    
  • SOFTWARE/ext_data/data
L'estensione random che viene aggiunta ai file criptati è memorizzata nel valore "ext" della chiave di registro:
  • SOFTWARE/ext_data/data
Una nuova coppia di chiavi RSA-2048 viene generata usando Microsoft Enhanced Cryptographic Provider CryptoAPI CryptGenKey. La chiave privata RSA di questa nuova coppia è criptata con Salsa20. La chiave pubblica e la coppia di chiavi private criptate sono memorizzate nel registro ‘SOFTWARE/key__dats/dats’ .


Una nota di riscatto criptata con XORing viene salvata nella sezione .data del payload: il nome della nota segue lo schema ‘extension_name-DECRYPT.txt’.

Criptazione dei file
Prima di avviare la criptazione dei file, GandCrab termina alcuni importanti processi che potrebbero avere in uso file come documenti, database o fogli di calcolo Excel: in questa maniera il ransomware si assicura che non vi siano file non criptabili perchè "occupati". 


Durante il processo di criptazione, questa versione di GandCrab evita alcune importanti directory (Program Files, Windows, TOR ecc...), ma anche alcuni file come boot.in e ntuser.dat. I file sono criptati con l'algoritmo Salsa20: la chiave viene generata con CryptGenRandom ed è diversa per ogni file. La chiave Salsa20 usata per la criptazione viene nuovamente criptata con la chiave pubblica RSA generata in locale. L'immagine sottostante mostra la struttura di un file che ha subito la routine di criptazione


Terminato il processo di criptazione, GandCrab tenta di contattare più di 100 diversi domini: uno sguardo veloce agli hostname rende chiaro che alcuni sono siti web genuini, altri sono stati compromessi. Gli URL dei siti compromessi sono composti da un nome dominio recuperato dall'elenco al quale viene aggiunta una delle 7 stringhe predefinite.

Ad esempio https://[Genuine domain name]/content/graphic/dekakadake.jpg

A questi URL sono quindi inviate per l'hosting le informazioni sull'utente/vittima che sono memorizzate, in forma criptata, in PCData. 

La nota di riscatto
Nell'immagine sottostante è possibile vedere la nota di riscatto di GandCrab v. 5.0.9. 


Conclusioni
GandCrab ha dimostrato di avere un approccio modulare fin dall'inizio: questo approccio si è solo evoluto e affinato nel tempo. Se dovessimo elencare delle funzioni chiave, potremmo indicare:
  • la verifica della presenza di popolari servizi AV in esecuzione;
  • arresto di applicazioni per assicurare la criptazione di tutti i file;
  • l'uso di Salsa20 anzichè RSA 2048 per migliori performance;
  • l'uso di siti web compromessi per le comunicazioni. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 17 GIUGNO 2019
Attenzione! Il lucchetto verde e l'HTTPS non sono più sufficienti per indicare un sito web sicuro
Negli ultimi tempi i Quick Heal Security Labs hanno registrato un sorprendete aumento degli attacchi di phishing: sono attacchi nei quali gli ignari utenti vengono attira...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login