Quello che rende il ransomware un fenomeno rivoluzionario nel panorama del cybercrime è che non può esserci una cura a taglia unica per tutti, contrariamente alle firme virus che consentono alle soluzioni di sicurezza di risolvere praticamente ogni problema di malware. Una delle tipologie all’avanguardia di questo ecosistema ha fatto emergere una nuova variante chiamata GandCrab 5.1 a metà gennaio 2019. Ecco il profilo completo di questa terribile infezione.
L’esperienza del mondo reale mostra che solo le famiglie di ransomware venne stabilite scelgono la rotta del retaggio. Queste linee prolifiche producono una cyber progenie malevola ogni tanto, e ciascuna iterazione comporta certi miglioramenti funzionali assieme a modifiche esterne. GandCrab al momento la presenza predominante di questa nicchia, dato che si trova in rotazione da quasi un anno ed ha fatto abbastanza rumore della community della sicurezza da diventare davvero noto. La più recente versione di questo re della cripto estorsione underground si chiama GandCrab 5.1. E sostituisce la precedente build 5.0.4. In confronto al processore, questo nuovo arrivato non è comunque una rivoluzione. La sua manifestazione esterna è quasi identica, incluso il wallpaper del desktop e le parole della nota di riscatto. Benché alcuni possono considerare questa mancanza di grossi cambiamenti una negligenza da parte dei ladri, gli analisti di malware non sono così ottimisti. Ecco perché.
Benché ci siano solo dei cambiamenti minori dall’esterno, GandCrab 5.1 vanta un meccanismo di criptazione migliorata. Nello specifico, applica il cipher in modo molto più efficiente rispetto al suo predecessore. Questa cripto-più veloce non autorizzata a meno probabilità di essere notata dalla vittima che quindi adotterebbe una misura di emergenza, come terminare il processo malevolo tramite Task Manager o spegnendo il computer. Tutto sommato, la mod attuale supera considerevolmente predecessori, eccetto che la maggior parte delle vittime non sono abbastanza esperte di tecnologia da notarlo. Tornando al punto, dopo che GandCrab v5.1 cripta i dati personali di un obiettivo, etichetta tutti i file ostaggio agganciando un’estensione dall’aspetto casuale agli stessi. Questa estensione è unica per ogni utente, ed è composta da una striscia fino a 10 caratteri. Quindi, diciamo che un file dal nome Importante.docx venga preso ostaggio – sarà modificato e trasformato in un oggetto a cui non si può accedere con un nome del tipo: Importante.docx.ibptmqlbgf.
La distruzione qui sopra indicata del nome file non è però lo stadio finale dell’attacco. Il ransomware GandCrab 5.1 lascia una nota in modo che l’utente infetto abbia un’idea di quello che è successo esattamente di cosa fare per recuperare i file inaccessibili. Il nome di questa entità andrà a variare per ciascun utente, poiché la prima parte si abbina all’estensione file specifica della vittima, l’unica discrepanza è che i caratteri sono in maiuscolo. Nell’attacco ipotetico di cui sopra, la nota di riscatto sarà IBPTMQLBGF-DECRYPT.txt. La parte introduttiva recita così:
GandCrab v5.1
Non eliminare sotto alcuna circostanza questo fai, fino a che tutti i tuoi dati non verranno recuperati. Non farlo darà come risultato la corruzione del tuo sistema, se non ci sono errori di decretazione.
Attenzione!
Tutti i tuoi file, documenti, foto, database e altri file importanti sono stati criptati e presentano l’estensione: [estensione specifica per vittima].
L’unico metodo per recuperare i file è quello di acquistare una chiave privata unica. Solo noi possiamo darti questa chiave e solo noi possiamo recuperare i tuoi file.
Questo porta alle opzioni di riscatto imposte dai cattivi. All’utente viene detto di visitare una pagina Tor (dominio .onion) che fornisce la dimensione del riscatto assieme alla scadenza per pagarlo. Include inoltre la sezione chat per raggiungere i criminali. L’importo richiesto dai distributori di GandCrab 5.1 è di 1,200 USD. Può essere pagato con Bitcoin o alternativamente in Dash, una forma meno mainstream di criptovaluta. L’indirizzo del wallet per ognuno dei tipi è indicato sulla pagina di pagamento anch’esso. C’è inoltre uno scritto con un conto alla rovescia che visualizza il tempo rimasto prima che il prezzo raddoppi. È impostato a 2 giorni. L’unico aggiornamento fatto a quella pagina come parte della nuova uscita è l’immagine buffa di un granchio che decisamente non si allinea con la situazione preoccupante.
Ovviamente, questa incursione è una situazione seria. I ricercatori devono ancora trovare un metodo efficace al 100% per decriptare i file corrotti o GandCrab v5.1. Nel frattempo, coloro che vengono colpiti da questa piaga si trovano davanti ad un dilemma: pagare il riscatto e sperare che i cyber criminali facciano quello che affermano, o cercare un’altra soluzione. È quest’ultima opzione quella a cui dedichiamo nel dettaglio le sezioni sotto. Cosa importante, tenete a mente che questo ransomware si diffonde tramite spam – una delle campagne principali coinvolge delle email a tema “lettere d’amore”. Quindi, accertatevi di non aprire messaggi del genere provenienti da uno sconosciuto la prossima volta che li trovate nella vostra casella di posta.
Quando si tratta di gestire infezioni come questa, utilizzare uno strumento di pulizia affidabile è un buon posto per iniziare. Aderire al flusso di lavoro assicura che ogni componente del ransomware venga trovato e sradicato dal computer colpito.
Rimuovere adeguatamente l’infezione è solo parte della risoluzione, poiché le informazioni personali prese in ostaggio rimarranno comunque criptate. Analizzate e provate i metodi qui sotto per avere una possibilità di ripristinare i file.
Opzione 1: Backup
Il cloud fa miracoli quando si tratta di risoluzione problemi nell’ambito di un assalto ransomware. Se avete l’abitudine di conservare i backup in remoto, utilizzate la funzione rispettiva fornita dal vostro provider di backup per restaurare tutti gli oggetti criptati.
Opzione 2: Strumenti di ripristino
È di fondamentale importanza tenere a mente che GrandCrab 5.1 cripta unicamente delle copie dei file – generate dal ransomware stesso – mentre ne cancella la versione originale. Alla luce di ciò, può rivelarsi saggio avvalersi di applicazioni in grado di ripristinare i dati rimossi. A tale scopo, consiglio di utilizzare strumenti quali Data Recovery Pro. La versione più recente del ransomware, purtroppo, si preoccupa di applicare la rimozione sicura dei file, seguita da numerose sovrascritture, ma ciò non toglie che valga comunque la pena provare ad usare questo metodo.
Opzione 3: Shadow Copies
Il sistema operativo Windows incorpora una tecnologia conosciuta come Volume Snapshot Service, o VSS, la quale esegue automaticamente backup di routine di file o volumi. Un prerequisito critico a questo proposito è di aver attivato la funzionalità di Ripristino Sistema. In caso questa sia stata attivata, alcuni segmenti di dati possono essere recuperati con successo.
Potete eseguire questa operazione tramite la funzionalità Versioni Precedenti, incorporata nell’SO, o per mezzo di applicazioni speciali che faranno il lavoro automaticamente.
Il sistema operativo Windows fornisce un’opzione integrata per il ripristino delle versioni precedenti dei file, che può essere applicata anche alle cartelle. È sufficiente cliccare con il tasto destro su un file o su una cartella, selezionare Proprietà e cliccare sulla scheda Versioni Precedenti. Nel riquadro contenente le versioni sarà possibile visualizzare un elenco delle copie di backup del file o della cartella, con rispettive data e ora indicate. Seleziona l’ultima voce e clicca Copia se desideri ripristinare l’oggetto in un percorso differente. Cliccando su Ripristina, invece, l’oggetto sarà ripristinato nel percorso originale.
Questa soluzione ti permetterà di ripristinare le versioni precedenti di file e cartelle in modo non manuale, bensì automatico. Innanzitutto, sarà necessario scaricare e installare l’applicazione Shadow Explorer. Dopo averla eseguita, seleziona il nome dell’unità disco e la data di creazione delle versioni del file. Clicca con il tasto destro sulla cartella o sul file che desideri ripristinare e seleziona l’opzione Esporta. Dopodiché, non dovrai fare altro che specificare il percorso in cui vuoi ripristinare i dati.
Le minacce informatiche come i ransomware possono essere più furtive di quanto immaginate, offuscando abilmente le proprie componenti all’interno di un computer compromesso per eludere la rimozione. Perciò, eseguendo una scansione di sicurezza aggiuntiva metterete i puntini sulle i in termini di pulizia del sistema.
Scarica lo strumento di rimozione di ransomware GrandCrab v5.1