Selected news item is not available in the requested language.

Italian language proposed.

Close

10/12/2018
14:38

Email di SCAM Sextortion diffonde, in aggiunta, il Ransomware / CryptoMalware GandCrab

Nuovo metodo di diffusione per il Ransomware / CryptoMalware GandCrab attraverso una mail di SCAM Sextortion
      
GandCrab

Nuovo metodo di diffusione del CryptoMalware GandCrab che oltre ai metodi "classici" come mail, siti web con exploit o accesso RDP sfrutta da qualche giorno il metodo dello "SCAM" come rilevato dall'azienda PROOFPOINT in questa ANALISI
Le mail di SCAM molto diffuse nella seconda parte del 2018 invitavano l'utente a pagare un riscatto con la minaccia di divulgare un video privato.

INDICE

==> Le mail di SCAM

==> Analisi del payload del GandCrab
 
==> Il riscatto richiesto dal GandCrab

==> Come proteggersi dai Ransomware

==> Come comportarsi per mitigare i danni
In aggiunta alle minacce viene ora fornito un link che se cliccato porta al download e successiva esecuzione del CryptoMalware GandCrab.
Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette

Le mail di SCAM

Le email di SCAM, diffuse sia in lingua inglese che italiano, minacciano l'utente di divulgare un fantomatico video privato di lui mentre guarda siti per adulti proponendo un'offerta per non divulgare tra i suoi contatti mail e social il suo video privato.
Il pagamento viene richiesto in BitCoin ed i prezzi variano da qualche centinaio fino a qualche migliaio di Euro.
Alcuni esempi di questa tipologia di mail sono disponibili nelle analisi svolte dal C.R.A.M. di TG Soft a questi indirizzi:

In aggiunta all'estorsione ora è presente anche un link che se cliccato porta al download del CryptoMalware GandCrab da questo indirizzo:
  • http://supermainers[.]online/exp.exe 
Torna ad inizio pagina

Analisi del payload del GandCrab

Il file eseguibile scaricato dal sito supermainers[.]online ha le seguenti caratteristiche:
  • Nome File: exp.exe
  • Dimensione: 142336 byte
  • Md5: DB947D361F3E06B039A705A2728606FA
  • Data di compilazione: 26/10/2018 - 10:47:08
  • Famiglia malware: CryptoMalware GandCrab
  • VirIT: Trojan.Win32.GandCrab.BEE
Una volta avviato il file eseguibile il CryptoMalware crea la seguente chiave di registro:

HKLM\SOFTWARE\keys_data\data

Con questi due valori atti ad ospitare le chiavi di cifratura: 
  • public
  • private
Viene quindi dato inizio alla cifratura dei file del PC/SERVER. Il CryptoMalware tenta di cifrare i file con queste estensioni:
.rar .zip .cab .arj .lzh .tar .7z .gzip .iso .z .7-zip .lzma .vmx .vmdk .vmem .vdi  .vbox ? .1st .602 .docb .xlm .xlsx .xlsm .xltx .xltm .xlsb .xla .xlam .xll .xlw .ppt .pot .pps .pptx .pptm .potx .potm .ppam .ppsx .ppsm .sldx .sldm .xps .xls .xlt ._doc .dotm ._docx .abw .act .adoc .aim .ans .apkg .apt .asc .asc .ascii .ase .aty .awp .awt .aww .bad .bbs .bdp .bdr .bean .bib .bib .bibtex .bml .bna .boc .brx .btd .bzabw .calca .charset .chart .chord .cnm .cod .crwl .cws .cyi .dca .dfti .dgs .diz .dne .dot .doc .docm .dotx .docx .docxml .docz .dox .dropbox .dsc .dvi .dwd .dx .dxb .dxp .eio .eit .emf .eml .emlx .emulecollection .epp .err .err .etf .etx .euc .fadein.template .faq .fbl .fcf .fdf .fdr .fds .fdt .fdx .fdxt .fft .fgs .flr .fodt .fountain .fpt .frt .fwd .fwdn .gmd .gpd .gpn .gsd .gthr .gv .hbk .hht .hs .hwp .hwp .hz .idx .iil .ipf .ipspot .jarvis .jis .jnp .joe .jp1 .jrtf .jtd .kes .klg .klg .knt .kon .kwd .latex .lbt .lis .lnt .log .lp2 .lst .lst .ltr .ltx .lue .luf .lwp .lxfml .lyt .lyx .man .mbox .mcw .md5 .me .mell .mellel .min .mnt .msg .mw .mwd .mwp .nb .ndoc .nfo .ngloss .njx .note .notes .now .nwctxt .nwm .nwp .ocr .odif .odm .odo .odt .ofl .opeico .openbsd .ort .ott .p7s .pages .pages-tef .pdpcmd .pfx .pjt .plain .plantuml .pmo .prt .prt .psw .pu .pvj .pvm .pwd .pwdp .pwdpl .pwi .pwr .qdl .qpf .rad .readme .rft .ris .rpt .rst .rtd .rtf .rtfd .rtx .run .rvf .rzk .rzn .saf .safetext .sam .sam .save .scc .scm .scriv .scrivx .sct .scw .sdm .sdoc .sdw .se .session .sgm .sig .skcard .sla .sla.gz .smf .sms .ssa .story .strings .stw .sty .sublime-project .sublime-workspace .sxg .sxw .tab .tab .tdf .tdf .template .tex .text .textclipping .thp .tlb .tm .tmd .tmdx .tmv .tmvx .tpc .trelby .tvj .txt .u3i .unauth .unx .uof .uot .upd .utf8 .utxt .vct .vnt .vw .wbk .webdoc .wn .wp .wp4 .wp5 .wp6 .wp7 .wpa .wpd .wpd .wpd .wpl .wps .wps .wpt .wpt .wpw .wri .wsd .wtt .wtx .xbdoc .xbplate .xdl .xdl .xwp .xwp .xwp .xy .xy3 .xyp .xyw .zabw .zrtf .zw ÿþ .ani .cab .cpl .cur .diagcab .diagpkg .dll .drv .lock .hlp .ldf .icl .icns .ico .ics .lnk .key .idx .mod .mpa .msc .msp .msstyles .msu .nomedia .ocx .prf .rom .rtp .scr .shs .spl .sys .theme .themepack .exe .bat .cmd .gandcrab .KRAB .CRAB .zerophage_i_like_your_pictures

I file cifrati avranno questa struttura: [NOME FILE ORIGINALE].[ESTENSIONE ORIGINALE].ezpvc ed inoltre viene generato un file di testo contenente le istruzioni del riscatto, il file viene chiamato EZPVC-DECRYPT.txt

Al termine della cifratura il GandCrab esegue la cancellazione delle Shadow Copy di Windows con il seguente comando:

open C:\Windows\system32\wbem\wmic.exe shadowcopy delete

Infine il CryptoMalware tenta di collegarsi al sito: http://www[.]2mmotorsport[.]biz senza però ottenere risposta.

Dall'analisi del file sono emerse alcune stringhe inserite appositamente dai creatori del CryptoMalware che contengono dei messaggi diretti all'azienda Ahnlab ed al ricercatore Daniel J. Bernstein (@hashbreaker) che riportiamo di seguito:

STRINGA: ahnlab http://memesmix[.]net/media/created/dd0doq.jpg
L'immagine punta ad un meme contenente la frase in russo "Я записал тебя в список пидаров Но пока карандашом" che se tradotta in italiano diventa "Ti metto sulla lista dei finocchi Ma per ora con una matita".
meme

STRINGA: hey ahnlab, score - 1:1. 0day exploit for Ahnlab V3 Lite Denial of service. Possibly can trigger full write-what-where condition with privelege escalation, pass GandCrab http://filestorage[.]biz/download.php?file=e541302686cca000584050d41e254261
Il file indicato all'URL in data di analisi non è più disponibile ma fa comunque riferimento ad un exploit 0day che colpisce il software di Ahnlab

STRINGA: @hashbreaker Daniel J. Bernstein let's dance salsa <3...........@hashbreaker :)))
La stringa è diretta al ricercatore Daniel J. Bernstein noto su Twitter come @hashbreaker
La parola "salsa" fa riferimento all'algoritmo di cifratura SALSA20.
 

Dall'analisi del Malware sono stati individuati anche i seguenti domini:

www.haargenau.biz
www.bizziniinfissi.com
www.holzbock.biz
www.fliptray.biz
www.pizcam.com
www.swisswellness.com
www.hotelweisshorn.com
www.whitepod.com
www.hardrockhoteldavos.com
www.belvedere-locarno.com
www.hotelfarinet.com
www.hrk-ramoz.com
www.morcote-residenza.com
www.seitensprungzimmer24.com
www.arbezie-hotel.com
www.aubergemontblanc.com
www.torhotel.com
www.alpenlodge.com
www.aparthotelzurich.com
www.bnbdelacolline.com
www.elite-hotel.com
www.bristol-adelboden.com
www.nationalzermatt.com
www.waageglarus.com
www.limmathof.com
www.apartmenthaus.com
www.berginsel.com
www.chambre-d-hote-chez-fleury.com
www.hotel-blumental.com
www.facebook.com
www.la-fontaine.com
www.mountainhostel.com
www.hotelchery.com
www.ibis.com
www.mercure.com
www.hotelolden.com
www.facebook.com
www.huusgstaad.com
www.hotelrotonde.com
www.relais-crosets.com
www.lerichemond.com
www.hotellido-lugano.com
www.alimentarium.org
www.vitatertia.org
www.lassalle-haus.org
www.dermann.org
www.neuhof.org
www.osteriadelcentro.net		 www.hotelalbanareal.com
www.geneva.frasershospitality.com
www.luganohoteladmiral.com
www.bellevuewiesen.com
www.hoteltruite.com
www.hotelgarni-battello.com
www.seminarhotel.com
www.kroneregensberg.com
www.puurehuus.com
www.hotel-zermatt.com
www.stchristophesa.com
www.nh-hotels.com
www.schwendelberg.com
www.stalden.com
www.vignobledore.com
www.eyholz.com
www.flemings-hotel.com
www.hiexgeneva.com
www.petit-paradis.com
www.berghaus-toni.com
www.hotelglanis.com
www.16eme.com
www.staubbach.com
www.samnaunerhof.com
www.airporthotelbasel.com
www.elite-biel.com
www.aubergecouronne.com
www.le-saint-hubert.com
www.bonmont.com
www.cm-lodge.com
www.experimentalchalet.com
www.guardagolf.com
www.cantinesurcoux.net
www.lacommune.net
www.hoteldreirosen.net
www.disch.mehrmarken.net
www.gemperle.net
www.garage-schwyn.mehrmarken.net
www.ueberland-garage.mehrmarken.net
www.calisto.net
www.r-coiffure.net
www.kreatifs.net
www.nett-coiffure.ch
www.salon-coiffure-geneve.net
www.farbecht.net
www.haaratelier.net
www.von-arx.net
www.celi-vegas-avocats.net
www.ihr-zimmermann.net

Torna ad inizio pagina

Il riscatto richiesto dal GandCrab

Il file di testo EZPVC-DECRYPT.txt contiene le istruzioni del riscatto che sarà possibile pagare in BitCoin (BTC) o Dash (DSH).


Nelle istruzioni del riscatto è inizialmente indicato il nome del CryptoMalware e la versione (5.0.4).
Viene poi spiegato all'utente con un linguaggio semplice cosa è successo ai file e come procedere al pagamento del riscatto per ottenere la decifratura dei file.
Viene indicata la procedura per scaricare il browser TOR necessario per raggiungere il sito web http://gandcrabmfe6mnef[.]onion/e54a1a4098e0f423 contenente le informazioni necessarie ad eseguire il pagamento.
Vengono inoltre indicate due chiavi chiamate "GANDCRAB KEY" e "PC DATA" necessarie ad identificare il PC e che andranno comunicate al delinquente nelle modalità che vedremo successivamente per procedere al pagamento del riscatto.

Effettuando l'accesso al sito http://gandcrabmfe6mnef[.]onion/e54a1a4098e0f423 verrà richiesto di autenticarsi caricando il file delle istruzioni del riscatto (vedi img. 1) viene quindi caricata la pagina personale dove sulla sinistra è presente una colonna informativa molto simile alle informazioni contenute nel file TXT con inoltre tutte le informazioni utili su come reperire i BitCoin o Dash (vedi img. 2 e img. 3).
Sulla destra invece vi è una colonna ove è indicato il riscatto (500$) e dove è possibile scegliere se pagare con Dash o con BitCoin selezionando l'apposito bottone (vedi img. 4 e img. 5).
In data di analisi il riscatto ammonta a 500$ pari a 6.91754289 Dash (DSH) o 0.15285420 BitCoin (BTC).
E' inoltre disponibile una chat in caso di difficoltà e la possibilità di caricare un file cifrato per la verifica della possibile decifratura (vedi img. 6)

4
img.4
 5
img.5
 6
img.6

Viene inoltre indicato che dopo 48 ore il prezzo raddoppierà.

I wallet indicati per il pagamento sono:
  • BitCoin: 3KJLYY6y99jyFBHCKo24axyWZRtigYyqYk (In data 10/12/2018 risulta vuoto)
  • Dash: XioGBfRzodxGRo8a5ufEG7uzm24idfJxjp (In data 10/12/2018 risulta vuoto)


IOC

MD5:
DB947D361F3E06B039A705A2728606FA

URL:
supermainers[.]online -> IP: 77[.]222[.]40[.]113
www[.]2mmotorsport[.]biz -> IP: 78[.]46[.]77[.]98
gandcrabmfe6mnef[.]onion


Non è probabilmente superfluo ricordare che i Ransomware hanno come obiettivo quello di estorcere denaro. Per questo motivo i file dai quali si attiva il processo di cifratura vengono modificati ad arte per evitare di venire riconosciuti dagli antivirus più comunemente utilizzati così da proseguire indisturbati con i loro tentativi di cifratura e relativa richiesta di riscatto.
Considerato tutto ciò, l'intercettazione del file malevolo, non può affidarsi ai metodi classici ma deve necessariamente utilizzare altre metodologie di approccio come l'euritistico-comportamentale. Queste tecnologie permettono il riconoscimento del comportamento del processo stesso una volta che questo sia attivo, indipendentemente dal file portatore, controllandone l'esecuzione e le attività svolte.

E' importante sapere che:

  1. Non vi è la certezza che dopo il pagamento venga inoltrato il software per provvedere alla de-cifratura dei file presi in ostaggio;
  2. Pagando si dà forza ai cybercriminali che con i guadagni realizzati continueranno la loro attività estorsiva con ancora maggiore impegno e con metodologie ancora più sofisticate. E' bene quindi evitare di alimentare questo "mercato".
Di seguito verranno illustrati importanti suggerimenti per proteggersi dai Crypto-Malware e/o mitigarne i danni qualora  doveste venire in contatto dai ransomware come GandCrab.

Torna ad inizio pagina

Come proteggersi dai Ransomware / Crypto-Malware

Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO
Vir.IT eXplorer PRO e' già in grado di identificare e bloccare anche questo Crypto-Malware già nelle fasi iniziale dell'attacco di cifratura dei file di dati del PC / SERVER.

Come già segnalato, le tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware integrate in Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, sono in grado di mitigare anche questa tipologia di attacchi riuscendo a salvaguardare dalla cifratura, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.
 
Torna ad inizio pagina

Come comportarsi per mitigare i danni derivanti dal GandCrab

Quando appare a video la segnalazione di "Alert" generata da Vir.IT eXplorer PRO, visibile appena sotto a destra, significa che le tecnologie AntiRansomware protezione Crypto-Malware stanno già BLOCCANDO il malware, a questo punto, evitando di farsi prendere dal "panico",  NON chiudere la finestra ed eseguire le operazioni che vengono indicate:

  1. SCOLLEGARE il CAVO di RETE LAN: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
  1. NON RIAVVIARE IL COMPUTER: consigliamo di non spegnere e/o riavviare il PC/Server ma contattare, il prima possibile, il nostro supporto tecnico scrivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente per i clienti in possesso della licenza Vir.IT eXplorer PRO, nelle giornate lavorative dal lunedì al venerdì 8:30-12:30 e 14:30-18:30.
 Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO
Clicca per ingrandire l'immagine
 
99,63%*

Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplorer PRO ==> Consulta l'informativa
Torna ad inizio pagina



Hai installato sui tuoi computer
Vir.IT eXplorer PRO

Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO
Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO
Tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware. integrate in Vir.IT eXporer PRO

Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato e seguendo le indicazioni di Alert delle tecnologie AntiRansomware protezione Crytpo-Malware vi permetterà di salvaguardare dalla cifratura, mediamente, NON meno del 99,63% dei vostri preziosi file di dati.
Inoltre grazie alle tecnologie integrate in Vir.IT eXplorer PRO che sono in grado di de-cifrare e ripristinare i file cifrati è possibile de-cifrare/ripristinare fino al 100% dei file eventualmente cifrati nella fase iniziale dell'attacco.

Queste tecnologie vengono di seguito elencate:
  • Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO è in grado di catturare la chiave di cifratura privata nell'unico momento questa è disponibile in chiaro, ovvero quando si attiva il processo di cifratura. Utilizando la chiave di cifratura attraverso i tools integrati di Vir.IT eXplorer PRO sarà possibile de-cifrare i files crittografati nella fase iniziale dell'attacco senza perdere alcuna modifica.
  • Per alcune tipologie/famiglie di Crypto-Malware  Vir.IT eXplorer PRO mediante il Backup on-the-fly. Si tratta di una tecnologia integrata nello scudo residente in tempo reale, che effettua automaticamente copie di sicurezza delle più comuni tipologie di file di dati (file con dimensione inferiore ai 3 MB). Le copie di sicurezza eseguite dal Backup on-the-fly permettono il ripristino dei file senza perdere alcuna modifica.
  • Vir.IT Backup.Qualora la de-cifratura o il ripristino dei file mediante le due tecnologie sopra elencate non permettesse di recuperare tutti i file cifrati nella fase iniziale dell'attacco, sarà possibile ripistinare i file mancanti dai file di backup generati da Vir.IT Backup.

NON hai un software AntiVirus-AntiSpyware-AntiMalware in grado di bloccare la cifratura da attacchi Crypto-Malware di nuova generazione...


Se nel sistema non è presente alcuno strumento in grado di segnalare e bloccare la cifratura dei file, nel caso specifico di attacco Crypto-Malware, consigliamo di:
  • SCOLLEGARE il CAVO di RETE LAN;
  • SPEGNERE il PC / SERVER in modo da limitare eventualmente il numero di file cifrati.
  • Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.

Per maggiori info vi invitiamo a contattare la nostra segreteria amministrativo-commerciale chiamando in orario ufficio lo 049.8977432.



C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina


*Percentuale media di file salvati dalla crittografazione grazie alla tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO determinata sulla base degli attacchi verificati oggettivamente dal C.R.A.M. di TG Soft nel mese di ottobre 2015.
Any information published on our site may be used and published on other websites, blogs, forums, facebook and/or in any other form both in paper and electronic form as long as the source is always and in any case cited explicitly “Source: CRAM by TG Soft www.tgsoft.it” with a clickable link to the original information and / or web page from which textual content, ideas and / or images have been extrapolated.
It will be appreciated in case of use of the information of C.R.A.M. by TG Soft www.tgsoft.it in the report of summary articles the following acknowledgment/thanks “Thanks to Anti-Malware Research Center C.R.A.M. by TG Soft of which we point out the direct link to the original information: [direct clickable link]”

Vir.IT eXplorer PRO is certified by the biggest international organisation: