GandCrab: Ransomware nuova variante

GandCrab: Variante Ransomware

GandCrab v2.1 è la nuova variante di ransomware.  E’ un malware di origine russa, che si sta diffondendo principalmente nei paesi scandinavi e quelli anglofoni.

[bottone-post]

GANDCRAB: Crittografia dei dati

GANDCRAB v2.1 è un virus ransomware distribuito mediante il toolkit RigEK.

Il malware crittografa i file memorizzati nel computer aggiungendo  l’estensione . GDCB al nome del file e automaticamente inserisce in ogni cartella del pc il file di testo GDCB-DECRYPT.txt .

Questo file ha lo scopo di “informare” la vittima che per decriptare i dati è necessario accedere ad un link e seguire le istruzioni.

La vittima è informata che per il ripristino dei propri dati è necessaria una chiava che verrà rilasciata dopo aver pagato il “riscatto” di circa 1.500 Bitcoin o Dash (criptovaluta)

GandCrab: Modalità Diffusione

GandCrab v2.1 viene diffusa attraverso le email con allegati di tipo file Javascript che vengono mascherati da documenti PDF con .7s come estensione.

Sono facilmente riconoscibili perche il nome del file usa ha il seguente modello di naming:

DOC  NUMERI CASUALI  -PDF.7s

Le email generalmente fanno riferimento a documentazione e/o ricevute di pagamento e/o ordini,..

Decomprimendo l’allegato, il javascript genera un eseguibile nella cartella “%AppData%”

GandCrab usa l’algoritmo di cifratura RSA.

I file che vengono cifrati da questa nuova versione ransomware sono:

.PNG, .PSD, .PSPIMAGE, .TGA, .THM, .TIF, .TIFF, .YUV, .AI, .EPS, .PS, .SVG, .INDD, .PCT, .PDF,.XLR, .XLS, .XLSX, .ACCDB, .DB, .DBF, .MDB, .PDB, .SQL, .APK, .APP, .BAT, .CGI, .COM, .EXE, .GADGET, .JAR, .PIF, .WSF, .DEM, .GAM, .NES, .ROM, .SAVCADFiles, .DWG, .DXFGISFiles,  .GPX, .KML, .KMZ, .ASP, .ASPX, .CER, .CFM, .CSR, .CSS, .HTM, .HTML, .JS, .JSP, .PHP, .RSS,   .XHTML.DOC, .DOCX, .LOG, .MSG, .ODT, .PAGES, .RTF, .TEX, .TXT, .WPD, .WPS, .CSV, .DAT,  .GED, .KEY, .KEYCHAIN, .PPS, .PPT, .PPTX, .INI, .PRFEncodedFiles, .HQX, .MIM, .UUE, .7Z,  .CBR, .DEB, .GZ, .PKG, .RAR, .RPM, .SITX, .TAR.GZ, .ZIP, .ZIPX, .BIN, .CUE, .DMG, .ISO, .MDF,  .TOAST, .VCDSDF, .TAR, .TAX2014, .TAX2015, .VCF, .XMLAudioFiles, .AIF, .IFF, .M3U, .M4A, .MID,  .MP3, .MPA, .WAV, .WMAVideoFiles, .3G2, .3GP, .ASF, .AVI, .FLV, .M4V, .MOV, .MP4, .MPG, .RM, SRT, .SWF, .VOB, .WMV3D, .3DM, .3DS, .MAX, .OBJR.BMP, .DDS, .GIF, .JPG, .CRX, .PLUGIN, .FNT, .FON, .OTF, .TTF, .CAB, .CPL, .CUR, .DESKTHEMEPACK, .DLL, .DMP, .DRV,  .ICNS, .ICO, .LNK, .SYS, .CFG

Difendersi da GrandCrab Ransomware

  • Prevedere sempre un backup 
  • Predisporre  Piano di ripristino
  • Aggiornare costantemente il proprio sistema antivirus
  • Effettuare periodicamente Vulnerability Assessment dei propri asset informatici
  • Effettuare periodicamente Network Scan della propria rete
  • Mantenere sempre aggiornato il proprio sistema operativo
  • Mantenere sempre aggiornato il software applicativo
  • Scansione periodicamente con uno o più antivirus il software scaricato
  • Disabilitare l’utilizzo di macro nei documenti di Office
  • Utilizzare delle “whitelist” configurando opportunamente le cosiddette Software Restriction Policies 

Evoluzioni GrandCrab

Si prevedono nelle prossime settimane evoluzioni della versione GrandCrab v2.1.

Sanzioni amministrative pecuniarie: cosa dice il GDPR?
Codice sorgente: introduzione e definizione

Pronto intervento Cyber Swascan

Contattaci per un supporto immediato

Il sottoscritto, in qualità di interessato DICHIARA di aver letto e compreso il contenuto della privacy policy ai sensi dell’articolo 13, GDPR. ACCONSENTE al trattamento dei Dati in relazione all’invio da parte del Titolare di comunicazioni afferenti alla gestione di eventuali misure precontrattuali, preordinate alla stipulazione e/o esecuzione del contratto con il Cliente nonché all'adempimento dei relativi obblighi.
Il consenso prestato potrà essere revocato in qualsiasi momento contattando il Titolare ai recapiti presenti nella citata privacy policy.