Table of Contents
Quello che rende il ransomware un fenomeno rivoluzionario nel panorama del cybercrime è che non può esserci una cura a taglia unica per tutti, contrariamente alle firme virus che consentono alle soluzioni di sicurezza di risolvere praticamente ogni problema di malware. Una delle tipologie all’avanguardia di questo ecosistema ha fatto emergere una nuova variante chiamata GandCrab 5.1 a metà gennaio 2019. Ecco il profilo completo di questa terribile infezione.
L’esperienza del mondo reale mostra che solo le famiglie di ransomware venne stabilite scelgono la rotta del retaggio. Queste linee prolifiche producono una cyber progenie malevola ogni tanto, e ciascuna iterazione comporta certi miglioramenti funzionali assieme a modifiche esterne. GandCrab al momento la presenza predominante di questa nicchia, dato che si trova in rotazione da quasi un anno ed ha fatto abbastanza rumore della community della sicurezza da diventare davvero noto. La più recente versione di questo re della cripto estorsione underground si chiama GandCrab 5.1. E sostituisce la precedente build 5.0.4. In confronto al processore, questo nuovo arrivato non è comunque una rivoluzione. La sua manifestazione esterna è quasi identica, incluso il wallpaper del desktop e le parole della nota di riscatto. Benché alcuni possono considerare questa mancanza di grossi cambiamenti una negligenza da parte dei ladri, gli analisti di malware non sono così ottimisti. Ecco perché.
Benché ci siano solo dei cambiamenti minori dall’esterno, GandCrab 5.1 vanta un meccanismo di criptazione migliorata. Nello specifico, applica il cipher in modo molto più efficiente rispetto al suo predecessore. Questa cripto-più veloce non autorizzata a meno probabilità di essere notata dalla vittima che quindi adotterebbe una misura di emergenza, come terminare il processo malevolo tramite Task Manager o spegnendo il computer. Tutto sommato, la mod attuale supera considerevolmente predecessori, eccetto che la maggior parte delle vittime non sono abbastanza esperte di tecnologia da notarlo. Tornando al punto, dopo che GandCrab v5.1 cripta i dati personali di un obiettivo, etichetta tutti i file ostaggio agganciando un’estensione dall’aspetto casuale agli stessi. Questa estensione è unica per ogni utente, ed è composta da una striscia fino a 10 caratteri. Quindi, diciamo che un file dal nome Importante.docx venga preso ostaggio – sarà modificato e trasformato in un oggetto a cui non si può accedere con un nome del tipo: Importante.docx.ibptmqlbgf.
La distruzione qui sopra indicata del nome file non è però lo stadio finale dell’attacco. Il ransomware GandCrab 5.1 lascia una nota in modo che l’utente infetto abbia un’idea di quello che è successo esattamente di cosa fare per recuperare i file inaccessibili. Il nome di questa entità andrà a variare per ciascun utente, poiché la prima parte si abbina all’estensione file specifica della vittima, l’unica discrepanza è che i caratteri sono in maiuscolo. Nell’attacco ipotetico di cui sopra, la nota di riscatto sarà IBPTMQLBGF-DECRYPT.txt. La parte introduttiva recita così:
GandCrab v5.1
Non eliminare sotto alcuna circostanza questo fai, fino a che tutti i tuoi dati non verranno recuperati. Non farlo darà come risultato la corruzione del tuo sistema, se non ci sono errori di decretazione.
Attenzione!
Tutti i tuoi file, documenti, foto, database e altri file importanti sono stati criptati e presentano l’estensione: [estensione specifica per vittima].
L’unico metodo per recuperare i file è quello di acquistare una chiave privata unica. Solo noi possiamo darti questa chiave e solo noi possiamo recuperare i tuoi file.
Questo porta alle opzioni di riscatto imposte dai cattivi. All’utente viene detto di visitare una pagina Tor (dominio .onion) che fornisce la dimensione del riscatto assieme alla scadenza per pagarlo. Include inoltre la sezione chat per raggiungere i criminali. L’importo richiesto dai distributori di GandCrab 5.1 è di 1,200 USD. Può essere pagato con Bitcoin o alternativamente in Dash, una forma meno mainstream di criptovaluta. L’indirizzo del wallet per ognuno dei tipi è indicato sulla pagina di pagamento anch’esso. C’è inoltre uno scritto con un conto alla rovescia che visualizza il tempo rimasto prima che il prezzo raddoppi. È impostato a 2 giorni. L’unico aggiornamento fatto a quella pagina come parte della nuova uscita è l’immagine buffa di un granchio che decisamente non si allinea con la situazione preoccupante.
Ovviamente, questa incursione è una situazione seria. I ricercatori devono ancora trovare un metodo efficace al 100% per decriptare i file corrotti o GandCrab v5.1. Nel frattempo, coloro che vengono colpiti da questa piaga si trovano davanti ad un dilemma: pagare il riscatto e sperare che i cyber criminali facciano quello che affermano, o cercare un’altra soluzione. È quest’ultima opzione quella a cui dedichiamo nel dettaglio le sezioni sotto. Cosa importante, tenete a mente che questo ransomware si diffonde tramite spam – una delle campagne principali coinvolge delle email a tema “lettere d’amore”. Quindi, accertatevi di non aprire messaggi del genere provenienti da uno sconosciuto la prossima volta che li trovate nella vostra casella di posta.
Questo è un metodo esclusivamente efficiente per prendersi cura del malware in generale e delle minacce ransomware in particolare. L'uso di una suite di sicurezza affidabile assicura un rilevamento scrupoloso di tutte le componenti virus e una completa rimozione delle stesse con un singolo clic. Tenete però presente che la disinstallazione di questa infezione e il recupero dei vostri file sono due cose diverse, ma il bisogno di rimuovere questa peste è indiscutibile dato che è stato segnalato che può promuovere anche altri Trojans durante la sua operatività.
È stato menzionato che GrandCrab 5.1 ransomware applica una forte criptazione per rendere inaccessibili i file, quindi non c'è una bacchetta magica che possa ripristinare tutti i dati criptati in un batter d'occhio, eccetto naturalmente sottomettersi all'impensabile ricatto. Esistono però delle tecniche che possono darvi una mano nel recupero delle cose più importanti - scoprite quale sono.
È piuttosto interessante sapere che l'infezione GrandCrab 5.1 elimina i file originali in forma non criptato. Sono le coppie che vengono sottoposte al processo di criptazione del ransomware. Quindi strumenti come Stellar Data Recovery possono recuperare gli oggetti eliminati anche se questi vengono rimossi in modo sicuro. Questa scappatoia vale decisamente la pena essere provata dato che si è dimostrata essere piuttosto efficace.
Questo approccio si affida al backup nativo di Windows che fai sul computer, che viene condotto a ciascun punto di ripristino. C'è una condizione importante per questo metodo: funziona se la funzionalità di Ripristino Sistema è stata attivata prima della contaminazione. Inoltre, se vengono effettuate delle modifiche ad un file dopo il più recente punto di ripristino, queste non saranno riflesse nella versione del file recuperata.
Di tutte le opzioni non relative al riscatto, questa è la più ottimale. Nell'eventualità che abbiate fatto il backup delle vostre informazioni su un server esterno prima che il ransomware colpisse il vostro pc, ripristinare i file criptati da GrandCrab 5.1 sarà tanto semplice quanto accedere all'interfaccia rispettiva, selezionare i file giusti ed iniziare la transazione di recupero. Prima di farlo, tuttavia, assicuratevi di rimuovere completamente il ransomware dal vostro computer.
Come ho già detto, la semplice rimozione di GrandCrab 5.1 non consente di decrittare i file personali. I metodi di ripristino descritti nell’articolo potrebbero aiutare nell’intento, ma potrebbero anche dimostrarsi inefficaci. In ogni caso, non v’è dubbio che sia necessario rimuovere il ransomware dal computer.
Non di rado accade che GrandCrab 5.1 sia accompagnato da altri malware. Per tale ragione, si consiglia di effettuare scansioni di sistema regolari con appositi programmi di sicurezza, così da assicurarsi che non vi siano pericolosi residui del virus o di minacce ad esso associate all’interno del Registro di Windows o in altre porzioni del sistema.