Ransomware GandCrab: Recupero dei dati

GandCrab, le cui prime segnalazioni risalgono a gennaio 2018, è attualmente una delle famiglie di ransomware più diffuse sul mercato. Il ransomware, di probabile origine russa, viene distribuito nel Dark Web secondo la formula RaaS (Ransomware as a Service) e gli sviluppatori sono molto attivi continuando a rilasciare nuove versioni. La famiglia di GandCrab è composta da numerose varianti del ransomware come GDCB, KRAB, CRAB virus, GandCrab 2, GandCrab 3, GandCrab 4 e GandCrab 5. Le prime le versioni hanno in comune gli algoritmi RSA 2048 e AES 256 per cifrare i dati e dalla versione 5 viene utilizzato anche l'algoritmo SALSA20. Tutte le varianti aggiungono al file cifrato, un'estensione unica. 

FIG 1 - GandCrab Ransomware

Come si diffonde il malware
Il ransomware utilizza diversi vettori per l'infezione tra cui gli exploit kit RIG, GradSoft, Magnitude, Fallout, ALPC Task Scheduler Zero-day inoltre viene distribuito anche tramite email, siti web contenenti malware, crack, keygen e update fasulli e sfruttando le vulnerabilità del sistema. 
Una volta infettato il sistema, il ransomware raccoglie informazioni sulla vittima come il nome utente, il nome del pc, il sistema operativo installato, ecc, quindi provvede alla creazione di un ID univoco e procede a cifrare i file presenti nel sistema. Ai file cifrati viene aggiunta una nuova estensione e la chiave per decriptarli viene salvata, almeno nelle prime versioni, sui server C&C (Command and Control). Al termine del processo l'utente non riuscirà più ad accedere e a visualizzare i propri file e, in ogni cartella, sarà presente un file del tipo GDCB-DECRYPT.txt, KRAB-DECRYPT.txt o [codice ID]-DECRYPT.txt contenente le istruzioni per il pagamento del riscatto (FIG 2). 

FIG 2 - GandCrab, file Decrypt con le istruzioni per il pagamento del riscatto

Versione	Data	Estensione	Note
GandCrab	01/2018	.GDCB	Diffuso prevalentemente tramite email con allegato alla cui apertura viene eseguito il payload che provvede a cifrare i dati dell'utente e a creare il file GDCB-DECRYPT.txt, contenente informazioni per il pagamento del riscatto, sul desktop della vittima. L'entità del riscatto aumenta con il passare del tempo.
GandCrab v2	03/2018	.CRAB	La seconda versione del ransomware è stata rilasciata dopo che un team di esperti di cybersecurity ha rilasciato un tool in grado di decriptare i file cifrati con la prima versione. La nuova versione provvede a cifrare i file utilizzando gli algoritmi AES-256 (CBC mode) e RSA-2048. Il ransomware è stato distribuito attraverso la campagna di malvertising Seamless che porta le vittime ad essere infettate attraverso il kit RIG exploit. Sul desktop viene creato il file CRAB-DECRYPT.txt contenente informazioni per il riscatto.
GandCrab v2.1	04/2018	.CRAB	Il funzionamento è analogo a quello visto per la versione precedente
GandCrab v3	04/2018	.CRAB	Nella sua terza versione il ransomware mantiene le stesse caratteristiche della versione precedente. L'estensione aggiunta ai file cifrati rimane .CRAB e anche il nome del file creato sul desktop rimane invariato (CRAB-DECRYPT.txt). L'unica differenza rilevante è che da questa versione il ransomware non consente più il pagamento del riscatto mediante la criptovaluta DASH ma solo in Bitcoin.
GandCrab v4	07/2018	.KRAB	La quarta versione del ransomware continua ad utilizzare gli algoritmi AES-256 (CBC mode) e RSA-2048 per cifrare i dati della vittima. L'estensione aggiunta ai file cifrati diventa .KRAB. Il file creato sul desktop prende il nome di KRAB-DECRYPT.txt e contiene maggiori informazioni sull'attacco e sulle istruzioni per procedere alla creazione di un wallet per le criptovalute.
GandCrab v4.1	07/2018	.krab	Rilasciata subito dopo la versione 4 apporta alcune modifiche al proprio funzionamento. Da tale versione il ransomware non utilizza più i server di C&C (Command and Control) e l'infezione può avvenire anche senza la connessione ad Internet. Per la sua diffusione il ransomware utilizza l'exploit SMB. La patch MS17-010 previene l'infezione rimediando alla vulnerabilità individuata su SMB e sfruttata da diversi ransomware.
GandCrab v5.0 e v5.0.1	09/2018	5 caratteri casuali	L'estensione aggiunta ai file cifrati è composta da 5 caratteri casuali. Lo stesso dicasi per il file creato sul desktop il cui nome ora è del tipo estensione-DECRYPT.html. A partire dalla versione 5 gli algoritmi utilizzati per cifrare i dati dell'utente sono SALSA20 e RSA-2048.
GandCrab v5.0.2	10/2018	10 caratteri casuali	Questa versione del ransomware è stata distribuita il 1° ottobre 2018. Ai file cifrati viene aggiunta un'estensione di 10 caratteri casuali e il file contenente le istruzioni per il riscatto è del tipo estensione-DECRYPT.htm. L'infezione viene portata a termine tramite il kit Fallout exploit.
GandCrab v5.0.3	10/2018	5 caratteri casuali	L'estensione aggiunta ai file cifrati è composta da 5 caratteri casuali. Lo stesso dicasi per il file creato sul desktop il cui nome ora è del tipo estensione-DECRYPT.html. il ransomware viene distribuito prevalentemente tramite un allegato ad un'email di spam. Nascosto all'interno dell'allegato è presente un file JavaScript (il dropper) chiamato GandCrab 5.0.3 downloader.js che una volta eseguito lancia altri 2 eseguibili dsoyaltj.exe e Wermgr.exe che forniscono al malware privilegi amministrativi e avviano la cifratura dei dati.
GandCrab v5.0.4, v5.0.5 e v5.0.9	10/2018	numero variabile caratteri casuali	Queste versioni del ransomware sono state rilasciate tutte ad ottobre 2018. L'estensione aggiunta ai file cifrati è composta da un numero variabile di caratteri casuali. Il comportamento e i metodi di diffusione sono analoghi a quelli già visti per le versioni precedenti.
GandCrab v5.1	01/2019	caratteri casuali	In questa versione del ransomware viene utilizzato l'algoritmo Salsa20 per cifare i dati.

Come rimuovere il ransomware
Prima di tentare il recupero dei dati è necessario rimuovere il ransomware. Per rimuoverlo è possibile eseguire la scansione del sistema con un antivirus o antimalware aggiornato. Un buon prodotto gratuito e utile in questi casi è  Kaspersky Rescue Disk scaricabile da QUESTA PAGINA. Scaricata l'immagine è possibile masterizzarla su CD\DVD oppure creare una pendrive bootable tramite il tool rescue2USB. Eseguendo il boot con Kaspersky Rescue Disk è possibile fare in modo che l'antivirus scarichi automaticamente da Internet gli aggiornamenti prima di procedere alla scansione dell'intero sistema.
Terminata la scansione ed eliminati eventuali virus trovati, avviare il sistema in modalità provvisoria quindi installare ed eseguire una scansione con una versione di Malwarebytes e/o SpyHunter aggiornata.


Recupero Dati
Pochi giorni fa Bitdefender ha rilasciato una nuova versione del suo tool per decriptare i file cifrati dal ransomware GandCrab fino alla versione 5.1. Il tool può essere scaricato dal seguente link
DOWNLOAD
Il suo utilizzo è molto semplice e non richiede l'installazione: 

• Avviare l'eseguibile come amministratore quindi accettare i termini di utilizzo e proseguire cliccando su Continue;
  

  

  FIG 3 - Bitdefender Decryption Utility for GandCrab, licenza

• Una finestra di dialogo ci avvisa che il tool funziona con le versioni 1, 4 e 5 di GandCrab e che per il suo funzionamento è necessario una connessione ad Internet. Cliccare su OK;
  

  

  FIG 4 - Bitdefender Decryption Utility for GandCrab, richiesta connessione ad Internet

• A questo punto possiamo decidere se eseguire una scansione dell'intero sistema alla ricerca di file cifrati dal ransomware (selezionando la casella Scan entire system) oppure indicare noi una specifica cartella contenente i dati da recuperare (cliccando sul pulsante Browse e selezionando la cartella di nostro interesse). Una volta impostato cosa fare cliccare su Start tool;

  

  FIG 5 - Bitdefender Decryption Utility for GandCrab, Impostazioni scansione

• Verrà eseguita la scansione alla ricerca dei file cifrati da GandCrab. I file trovati verranno automaticamente decriptati dal tool.
  
  

  

  FIG 6 - Bitdefender Decryption Utility for GandCrab - scansione

Purtroppo subito dopo il rilascio del nuovo tool da parte di Bitdefender è stata annunciata sul Dark Web la distribuzione della nuova versione di GandCrab v5.2. Per quest'ultima versione al momento non c'è possibilità di recuperare i dati cifrati.

Ransomware WannaCry: Come proteggersi

L'attacco informatico eseguito dal ransomware WannaCry (conosciuto anche con i nomi WanaCrypt0r 2.0 o WCry/WannaCry) è di carattere planetario. Il ransomware sfrutta una tecnica utilizzata da EternalBlue/DoublePulsar, uno strumento d'intrusione sviluppato dalla NSA che è stato trafugato e diffuso da alcune organizzazioni criminali. Il malware si diffonde da una rete locale all'altra attraverso Internet sfruttando le condivisione di rete SMB (SAMBA), generalmente attiva di default sui sistemi Windows, pertanto se un PC è stato infettato scollegarlo dalla rete per scongiurare l'infezione di altre postazioni/dispositivi. L'infezione è stata al momento bloccata: WannaCry verifica la presenza di un particolare domino esterno (www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) e se non lo trova o non riesce ad accedervi provvede ad infettare il sistema. Il dominio è stato di recente creato per fermare l'infezione ma altre varianti del malware sprovviste di tale controllo si stanno diffondendo.
Purtroppo questo attacco dimostra ancora una volta la scarsa considerazione della sicurezza da parte degli utenti ma soprattutto da parte di molte aziende: sono stati colpite dall'infezione Università, Ospedali, compagnie di telecomunicazioni e persino banche. La patch diffusa da Microsoft che sistema la falla sfruttata dal ransomware è la MS17-010 disponibile già da Marzo. 

I sistemi interessati dal ransomware sono Windows XP, Windows Vista SP2, Windows Server 2008, Windows 7, Windows 8-8.1, Windows Server 2012 e R2, Windows 10, Windows Server 2016 non aggiornati.


Oltre ad installare la patch è opportuno verificare la disabilitazione della funzionalità Supporto per condivisione file SMB 1.0/CIFS come indicato di seguito:

• Da Windows premere la combinazione di tasti WIN+R e, nella finestra Esegui, digitare appwiz.cpl seguito da invio;
• Sul lato sinistro della finestra cliccare su Attivazione o Disattivazione delle funzionalità di Windows
  
  

  

  FIG 1 - Windows, Attivazione o disattivazione delle funzionalità di Windows

• Dall'elenco togliere la spunta alla voce Supporto per condivisione file SMB 1.0/CIFS (SMB1.0/CIFS File Sharing Support) e confermare cliccando su OK
  
  

  

  FIG 2 - Supporto per condivisione file SMB 1.0/CIFS

Per proteggersi da gran parte di virus/ransomware basta seguire pochi e semplici passaggi:

• Tenere sempre il sistema operativo aggiornato. Windows può essere aggiornato sia tramite il tool integrato nel sistema sia installando le patch di sicurezza manualmente scaricandole da http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598.
• Aggiornare il proprio antivirus/firewall;
• Non aprire email, allegati o file di dubbia provenienza senza prima aver effettuato almeno un controllo con un antivirus aggiornato;
• Eseguire frequenti backup dei dati importanti su supporti esterni è tenerli disconnessi dalla rete.

Android: Malware Gooligan, verificare se il proprio account è stato violato

A partire da Agosto 2016 oltre un milione di account Google sono stati violati al ritmo di 13.000 al giorno dal malware Gooligan.

Gooligan esegue il root dei dispositivi Android vulnerabili per rubare indirizzi email e i token utilizzati per l'autenticazione dell'utente sulla piattaforma di Google. Con tali informazioni il malintenzionato può accedere all'account Google della vittima e di conseguenza a tutti i dati sensibili (Gmail, Google Photos, Google Docs, Google Play, Google Drive, ecc) presenti; inoltre,  può eseguire comandi da remoto sul dispositivo infetto.

I dispositivi a rischio sono quelli su cui è installato Android 4 (Jelly Bean e KitKat) e Android 5 (Lollipop).

Il malware si annida su molte App presenti su App-Store di terze parti (alternative a Google Play) e può essere distribuito anche tramite phishing inviando alla vittima un collegamento all'app infetta. Una volta che l'applicazione infetta viene installata sul dispositivo, Gooligan si attiva e procede al download di un rootkit dai server Command and Control (C&C server). Il rootkit sfrutta le vulnerabilità di Android 4 e 5 non aggioranti utilizzando gli exploit VROOT (CVE-2013-6282) e Towelroot (CVE-2014-3153). L'attacco in molti casi riesce in quanto le patch di sicurezza che sistemano queste falle non sono state rilasciate per tutti i dispositivi Android o non sono state mai installate dagli utenti. Una volta eseguito il rooting, il malvivente ha pieno controllo del dispositivo è può eseguire comandi da remoto.
Dopo aver ottenuto l'accesso alla root, Gooligan scarica e installa un altro modulo dai server C&C che viene utilizzato per inserire codice malevolo all'interno dell'App Google Play. Questo permette a Gooligan di rubare l'email e il token utilizzati per l'autenticazione dell'utente, di installare e valutare le App da Google Play in modo da incrementarne il rating, di installare adware che visualizzano spot pubblicitari.

FIG 1 - Gooligan

Verificare se il proprio account è stato violato

Per verificare se il proprio account è stato violato basta andare su https://gooligan.checkpoint.com/ e inserire l'indirizzo email relativo al proprio account Google.

Nel caso in cui l'account risultasse violato è necessario effettuare un'installazione pulita di Android sul dispositivo (flashing della rom) e successivamente procedere al cambio della password dell'account Google.

FIG 2 - Gooligan Checker

Ransomware Bart : Come recuperare i dati

Il ransomware Bart è stato scoperto da ProofPoint e dietro la sua distribuzione c'è lo stesso gruppo che distribuisce i ransomware Locky e Dridex. Il ransomware prende in ostaggio i dati della vittima comprimendoli in file .zip protetti da password. A differenza degli altri ransomware, Bart non usa una chiave pubblica per cifrare i dati ma gli sviluppatori sfruttano il fatto che il formato ZIP supporta in modo nativo la cifratura AES. Proprio per questo modo di operare non ha bisogno di comunicare con i server di comando e controllo e può agire anche se non connesso ad Internet. Terminata la sua opera, Bart visualizza un messaggio all'utente in cui viene richiesto un riscatto di 3 bitcoin per rilasciare la password dei file .zip contenti i dati.

Come viene distribuito il ransomware

Bart viene distribuito, come la maggior parte dei ransomware, tramite un email con in allegato un file .zip. Il file zip contiente un file JS (Javascript) che ha un nome simile a PDF_[10 cifre random].js, FILE-[10 cifre random].js o DOC-[10 cifre random].js. Il codice JavaScript presente all'interno del file è offuscato al fine di rendere difficile, a chi lo analizza, scoprire le operazioni che esegue. Se la vittima apre l'allegato .zip, Windows Script Host (wscript.exe) lancia il JavaScript che avvia il download del malware eseguibile RocketLoader all'interno della cartella %temp% e poi lo esegue. Il malware provvede poi al download e all'esecuzione del ransomware Bart.

La prima operazione che effettua il ransomware è quella di verificare la lingua del sistema operativo. Se la lingua rilevata è russo, bielorusso o lingua ucraina il ransomware termina senza effettuare alcuna operazione, in caso contrario verifica le lettere dei dischi/partizioni e inizia a zippare con password, aggiungendo l'estensione .Bart.zip, i file che hanno le seguente etensioni:

.n64, .m3u, .m4u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .sh, .class, .jar, .java, .rb, .asp, .cs, .brd, .sch, .dch, .dip, .vbs, .vb, .js, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .db, .mdb, .sq, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11(Security copy), .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mm, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wb2, .123, .wks, .wk1, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .602, .dotm, .dotx, .docm, .docx, .DOT, .3dm, .max, .3ds, .xm, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .p12, .csr, .crt, .key

Non tutti i file vengono zippati, il ransomware risparmia i file che, all'interno del percorso, contengono le seguenti stringhe:
tmp, winnt, Application Data, AppData, PerfLogs, Program Files (x86), Program Files, ProgramData, temp, Recovery, $Recycle.Bin, System Volume Information, Boot, Windows.

Al termine dell'operazione, Bart crea sul desktop dell'utente i file recover.txt e recover.bmp: mentre il file con estensione .bmp viene impostato come wallpaper di Windows il file .txt viene aperto automaticamente da blocco note. All'interno del messaggio troviamo l'ID univoco assegnato al computer della vittima e il sito TOR a cui bisogna collegarsi per ulteriori informazioni su come procurarsi i bitcoin, l'ammontare del riscatto e l'indirizzo a cui pagare.

Recupero dei dati

AVG, azienda nota nel campo della sicurezza informatica, ha rilasciato un tool (AVG Decryption Tool for Bart) per recuperare i dati presi in ostaggio dal ransomware Bart. Al fine di recuperare la password dei file zip, il tool richiede che l'utente disponga della versione cifrata e non di uno stesso file (la password è uguale per tutti i file). Una volta trovata la password è possibile recuperare i restanti file presi in ostaggio dal ransomware.

Passo 1
Procurarsi ed eseguire AVG Decryption Tool for Bart. Il tool può essere scaricato da QUI

Passo 2
Avviato il tool ci si trova dinanzi alla schermata di benvenuto mostrata in FIG 1. Cliccare sul pulsante Avanti per proseguire.

FIG 1 - AVG Decryption Tool for Bart, (1/5) Welcome

Passo 3
Nella schermata successiva viene chiesto di specificare il disco/partizione o una cartella (cliccando su Add Folder) dove risiedono i nostri dati cifrati dal ransomware. Una volta specificato il disco/partizione, cliccare su Avanti.

FIG 2 - AVG Decryption Tool for Bart, (2/5) Select a location to decrypt

Passo 4
In questo passo dobbiamo passare la programma la versione cifrata (nella prima casella) e quella originale (nella seconda casella) di uno stesso file quindi verrà abilitato il pulsante Avanti su cui dobbiamo cliccare con il mouse per proseguire.

FIG 3 - AVG Decryption Tool for Bart, (3/5) Add an example file

Passo 5
Per avviare il processo di recupero password del file zip bisogna cliccare su Start (FIG 4).

FIG 4 - AVG Decryption Tool for Bart, (4/5) Crack the password

Passo 6
Trovata la password basterà cliccare ancora su Avanti per procedere al recupero di tutti i dati. Non resta che attendere il termine dell'operazione.

FIG 5 - AVG Decryption Tool for Bart, (4/5) Crack the password, password trovata

Ransomware Apocalypse: Recupero dei file

Apocalypse è uno dei tanti ransomware in circolazione. Diffuso prevalentemente tramite email, una volta installato crea un file eseguibile nominato windowsupdate.exe in C:\Program File (x86) inoltre crea un valore Windows Update Svc all'interno della chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ che permette al ransomware di avviarsi ogni volta che l'utente effettua il logon al sistema. Quando Apocalypse viene eseguito, provvede a cifrare tutti i file tranne i file presenti in C:\Windows e quelli aventi le seguenti estensioni:  .bat, .bin, .com, .dat, .dll, .encrypted, .exe, .ini, .lnk, .msi, .sys, .tmp

Ai file cifrati viene aggiunta l'estensione .encrypted e viene creato un nuovo file dal nome <nome_file_cifrato>.How_To_Decrypt.txt contenente le istruzioni per il pagamento del riscatto. Terminata l'operazione di cifratura, Apocalypse impedisce all'utente di accedere al proprio desktop visualizzando una schermata di blocco con il seguente messaggio:

IF YOU ARE READING THIS MESSAGE, ALL THE FILES IN THIS COMPUTER HAVE BEEN CRYPTED!!
documents, pictures, videos, audio, backups, etc
IF YOU WANT TO RECOVER YOUR DATA, CONTACT THE EMAIL BELOW.
EMAIL: decryptionservice@mail.ru
WE WILL PROVIDE DECRYPTION SOFTWARE TO RECOVER YOUR FILES.
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
IF YOU DONT CONTACT BEFORE 72 HOURS, ALL DATA WILL BE LOST FOREVER
:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Recuperare i dati cifrati da Apocalypse

Liberarsi del ransomware non è difficile e, grazie ad un tool sviluppato da  Fabian Wosar di Emsisoft, è possibile recuperare anche i propri file.

• Il primo passo da seguire è quello di avviare il sistema in modalità provvisoria con supporto di rete (Safe Mode with Networking).
• Una volta in modalità provvisoria possiamo disabilitare l'avvio automatico del ransomware eliminando il seguente valore all'interno del registro di sistema HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update Svc oppure disabilitandolo tramite msconfig (o dalla scheda Avvio di Gestione Attività)
  

  

  FIG 1 - Sezione Avvio da Gestione attività

• Scaricare il took di Emsisoft decrypt_apocalypse.exe dal seguente link http://decrypter.emsisoft.com/download/apocalypse e avviarlo
• Accettare la licenza
  
  

  

  FIG 2 - Licenza Decrypter for Apocalypse

• Il tool seleziona per default la partizione C: del disco. Cliccando su Add file(s) possiamo aggiungere altre partizioni o cartelle.
  
  

  

  FIG 3 - Emsisoft Decrypter for Apocalypse

• Quando siamo pronti basta cliccare su Decrypt. Tutti i file presenti nel disco selezionato e nelle relative sottocartelle verranno decriptati. I risultati/progressi saranno visibili dal tool all'interno della scheda Results.

Ransomware BadBlock: Come recuperare i file

Tra i tanti ransomware in circolazione, BadBlock è forse quello realizzato peggio. Generalmente i ransomware provvedono a cifrare solo i dati utente, lasciando intatto il sistema operativo in modo che l'utente visualizzi le informazioni per il pagamento del riscatto. BadBlock, invece, cifra non solo i dati dell'utente ma anche tutti i file eseguibili compresi quelli di sistema, così al successivo avvio l'utente potrebbe incappare in un messaggio simile a quello visualizzato in FIG 1 e Windows non viene caricato.

FIG 1 - Impossibile avviare Windows a causa di file mancante o corrotto

La maggior parte dei ransomware visualizzano il messaggio relativo al pagamento del riscatto solo quando hanno già cifrato tutti i dati dell'utente mentre BadBlock lo visualizza nel momento in cui inizia a cifrare i file e può essere bloccato terminando il processo badransom.exe dal Task Manager (Gestione attività).

FIG 2 - BadBlock: richiesta pagamento riscatto

Il ransomware BadBlock si diffonde principalmente tramite email. 
Quando si viene infettati, la prima operazione da effettuare è quella di stoppare il processo da Task Manager. É consigliabile non riavviare il sistema in quanto se il ransomware è riuscito a cifrare un file del sistema operativo, al successivo avvio, Windows potrebbe non ripartire.
Per rimuovere il ransomware basta effettuare una scansione con MalwareBytes dopo aver aggiornato il database. 

Come recuperare i dati cifrati

Passo 1: 
Per recuperare i dati cifrati è possibile utilizzare il tool Decrypt BadBlock sviluppato da Fabian Wosar di Emsisoft. Il tool può essere scaricato da http://decrypter.emsisoft.com/download/badblock 

Passo 2: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.

FIG 3 - Decrypt BadBlock: Creazione cartella sul desktop

Passo 3: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_badblock.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.

FIG 4 - BadBlock: Decryption Key

Passo 4: 
Accettare la licenza di utilizzo cliccando su Sì per proseguire e visualizzare la finestra Emsisoft Decrypter for BadBlock.

FIG 5 - Decrypt BadBlock - License terms

Passo 5: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.

FIG 6 - BadBlock: Emsisoft Decrypter

FIG 7 - BadBlock: Emsisoft Decrypter, risultati

Ransomware Petya decriptare il disco e recuperare i dati

Il ransomware Petya ha un comportamento molto diverso rispetto ai comuni ransomware visti fin'ora: Petya non cifra i file ma porzioni del disco fisso impedendo l'accesso a qualsiasi file in esso contenuto. Anche in questo caso per lo sblocco del sistema viene richiesto un riscatto.

Il ransomware viene diffuso prevalentemente tramite email all'interno della quale è presente in allegato un link che provvede a scaricare e installare Petya sul sistema. Una volta installato, il ransomware provvede a sostituire il Master Boot Record (MBR) del disco fisso con un proprio loader quindi procede al riavvio di Windows dopo aver visualizzato una schermata BSOD (Blue Screen of Death). All'avvio viene eseguito il loader di Petya che visualizza una schermata del tutto analoga al CHKDSK di Microsoft al fine di rassicurare l'utente. In questa fase il ransomware procede a cifrare la Master File Table (MFT) rendendo i file del disco inaccessibili.

FIG 1 - Petya CHKDSK

Terminato il finto CHKDSK ci si trova di fronte alla schermata di blocco visualizzata in FIG 2 (verrà visualizzata ad ogni avvio).

FIG 2 - Petya schermata di blocco

Premendo un qualsiasi tasto viene visualizzata la schermata con le istruzioni su come pagare il riscatto utilizzabile anche per l'inserimento della chiave di sblocco.

FIG 3 - Petya istruzioni per il riscatto

Decriptare il proprio Hard Disk

L'utente di Twitter leostone  ha creato una pagina Web che permette di generare la chiave per decriptare il disco, prima, però, è necessario estrarre alcuni dati dal disco: 512 byte di verifica dal settore 55 (0x37) offset 0 (0x0) e 8 byte dal settore 54 (0x36) offset 33(0x21) codificati in Base 64. Vediamo in dettaglio come procedere:

• L'hard disk va smontato e collegato ad un'altro PC (tramite USB oppure montato all'interno della macchina);
• Scaricare ed eseguire il tool Petya Sector Extractor  creato da Fabian Wosar;
• Il tool esegue la scansione del sistema per individuare, tra gli hard disk connessi, il disco infettato da Petya. Una volta individuato il disco infetto viene automaticamente selezionato.
  
  

  

  FIG 4 - Petya Sector Extractor

• Dal proprio browser aprire la pagina https://petya-pay-no-ransom.herokuapp.com/ (nel caso in cui la pagina non fosse raggiungibile è possibile provare ad accedere al mirror https://petya-pay-no-ransom-mirror1.herokuapp.com/). All'interno di tale pagina ci sono due caselle di testo denominate Base64 encoded 512 bytes verification data e Base64 encoded 8 bytes nonce nella quali andranno inseriti i dati estratti dal tool.
  
  

  

  FIG 5 - Petya estrazione della chiave

• Dal tool Petya Sector Extractor cliccare sul pulsante Copy Sector per copiare i dati estratti dal disco all'interno della clipboard quindi, sulla pagina web indicata nel passo precedente, cliccare all'interno della casella di testo denominata Base64 encoded 512 bytes verification data e incollare il testo tramite la combinazione di tasti CTRL+V
• Ritornare al tool Petya Sector Extractor e questa volta cliccare sul pulsante Copy Nonce. Sulla pagina web cliccare all'interno della casella denominata Base64 encoded 8 bytes nonce e incollare i dati con CTRL+V
• Sempre sulla pagina Web cliccare sul pulsante Submit per procedere all'estrazione della chiave. Prendere nota della chiave che viene visualizzata.
• Rimontare l'hard disk sul PC originale e avviare il sistema. Alla schermata di blocco di Petya (quella che visualizza il disegno del teschio) premere un tasto e, nella schermata successiva (FIG 3), inserire la chiave che è stata calcolata. A questo punto il ransomware inizia a decriptare il disco
• Quando l'operazione è terminata verrà chiesto di riavviare e il sistema si avvierà normalmente.

Trojan Nemucod e ransomware .CRYPTED

ATTENZIONE:

Danneggiare un sistema informatico (anche da remoto) rappresenta un reato penale. Le informazioni presenti in quest'articolo vanno utilizzate solo per testare/verificare sistemi di cui si è titolari. Declino ogni responsabilità civile e penale derivante da un utilizzo non legale delle informazioni presentate in questo articolo a solo scopo didattico.

Nemucod è un trojan, realizzato in Javascript, che provvede a scaricare e ad eseguire altri malware sulla macchina infetta. Inizialmente Nemucod è stato utilizzato per scaricare e installare i ransomware TeslaCrypt e Locky sui PC delle vittime ma di recente viene utilizzato per installare un altro tipo di ransomware che provvede a criptare i dati degli utenti aggiungendo l'estensione .crypted e creando un file DECRYPT.txt sul desktop della vittima. Nel file DECRYPT.txt il malfattore avvisa l'utente che i suoi file sono stati crittografati utilizzando l'algoritmo RSA-1024 inoltre contiene informazioni sul riscatto e su come ed entro quando pagarlo. In realtà il ransomware utilizza un semplice algoritmo XOR (algoritmo simmetrico) per la crittografia dei dati ed è possibile decriptare i file senza pagare alcun riscatto, per di più le copie shadow e i punti di ripristino non vengono cancellati.

Nemucod si diffonde tramite email: la vittima riceve un email che ha tutta l'aria di un messaggio legittimo (ad uno sguardo superficiale il mittente sembra attendibile/conosciuto e persino il contenuto spesso risulta convincente). Aprendo l'allegato Javascript (.JS) presente all'interno del messaggio lo script lancia una serie di comandi, crea alcuni file batch (.bat) e provvede a scaricare l'eseguibile del ransomware nella cartella temporanea dell'account utente ( %TEMP%\<numeri_casuali>.exe). 
Dal seguente link è possibile scaricare una delle varianti di Nemucod, si tratta di un file di testo contenente il codice Javascript utilizzato dal Trojan (ATTENZIONE a non renderlo eseguibile ed eseguirlo sulla propria postazione!).
DOWNLOAD NEMUCOD .JS

FIG 1 - Nemucod Javascript - Download del ransomware

Una volta che Nemucod ha completato il download del file eseguibile del ransomware, provvede a preparare un file di testo contenente il messaggio da visualizzare alla vittima e lancia uno script CMD che esegue la scansione del sistema alla ricerca dei file da cifrare. I file interessati dal ransomware sono quelli con le seguenti estensioni
*.zip *.rar *.7z *.tar *.gz *.xls *.xlsx *.doc *.docx *.pdf *.rtf *.ppt *.pptx *.sxi *.odm *.odt *.mpp *.ssh *.pub *.gpg *.pgp *.kdb *.kdbx *.als *.aup *.cpr *.npr *.cpp *.bas *.asm *.cs *.php *.pas *.vb *.vcproj *.vbproj *.mdb *.accdb *.mdf *.odb *.wdb *.csv *.tsv *.psd *.eps *.cdr *.cpt *.indd *.dwg *.max *.skp *.scad *.cad *.3ds *.blend *.lwo *.lws *.mb *.slddrw *.sldasm *.sldprt *.u3d *.jpg *.tiff *.tif *.raw *.avi *.mpg *.mp4 *.m4v *.mpeg *.mpe *.wmf *.wmv *.veg *.vdi *.vmdk *.vhd *.dsk

Ai file viene aggiunta l'estensione .crypted e viene richiamato l'eseguibile del ransomware che provvede a cifrare i primi 2048 bytes del file (anche se in alcune varianti il file viene cifrato per intero) utilizzando l'algoritmo XOR. Questo modo di operare spiega il perchè, in alcuni casi, basta rimuovere l'estensione .crypted per poter aprire nuovamente i file. Può capitare, infatti, che l'eseguibile non venga scaricato o eseguito correttamente e, pertanto, i file non vengono effettivamente cifrati.
Lo script CMD si autoelimina dopo aver aggiunto alcune chiavi di registro in modo tale che il ransomware venga eseguito ad ogni logon dell'utente. Una volta terminata la cifratura dei file viene visualizzato a video il contenuto del file DECRYPT.txt con le informazioni e istruzioni su come pagare il riscatto. Il contenuto del file è simile a quello mostrato in FIG 2

FIG 2 - Nemucod - DECRYPT.txt

Lo script .JS di Nemucod continua la sua opera tentando di scaricare altri malware/virus sulla postazione infetta.

I file relativi a Nemucod sono:
%Temp%\<numeri_casuali>.txt
%Temp%\<numeri_casuali>.exe
%LocalAppData%\evum\
%LocalAppData%\evum\1QGNQ.2MGvFO
%AppData%\BlastoffCounterpoiseDissimilitude
%AppData%\ForesideDopattaEmpyrean
%AppData%\gangbang.dll
%AppData%\htmlhelp.title.xml
%AppData%\libertine.dll
%AppData%\minimize_hover.png
%AppData%\System.dll
%Desktop%\Decrypt.txt

Le chiavi e i valori di registro creati da Nemucod sono:
HKCU\Software\Classes\.2MGvFO
HKCU\Software\Classes\.2MGvFO\ ayC5
HKCU\Software\Classes\ayC5
HKCU\Software\Classes\ayC5\shell
HKCU\Software\Classes\ayC5\shell\open
HKCU\Software\Classes\ayC5\shell\open\command
HKCU\Software\3c1cee05f3
HKCU\Software\Classes\ayC5\shell\open\command\
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ [caratteri_illeggibili]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Crypted %Temp%\502105.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ [caratteri_illeggibili]

Per eliminare il Nemucod ed altri malware dalla macchina infetta, eseguire la scansione con un antivirus  (come ad es. Kaspersky Rescue Disk) e un antimalware (come Malwarebytes) aggiornati.

Recuperare i dati .CRYPTED

Uno strumento per decriptare i dati era stato inizialmente fornito dall'utente macomaco su bleepingcomputer, tuttavia il fatto di richiedere l'installazione di Python lo rendeva poco adatto agli utenti meno esperti. Un nuovo strumento è stato rilasciato da Fabian Wosar di Emsisoft.

Il tool può essere scaricato da https://decrypter.emsisoft.com/nemucod

Passo 1: 
Creare una cartella sul desktop e inserire all'interno il tool appena scaricato. Copiare all'interno della cartella un file cifrato e lo stesso file non cifrato. Se non si dispone di un file non cifrato è possibile provare a cercare tra le immagini della cartella %public%.

FIG 3 - Nemucod - Creazione cartella sul desktop

Passo 2: 
Selezionare i 2 file e trascinarli sull'eseguibile decrypt_nemucod.exe. Nel caso venga visualizzata la finestra UAC (avviso di sicurezza) proseguire cliccando su OK. Il tool tenterà di ricavare la chiave di cifratura e al termine visualizzerà una finestra con la chiave trovata. Cliccare su OK per proseguire.

FIG 4 - Nemucod - Decryption Key

Passo 3: 
Accettare la licenza di utilizzo cliccando su Sì per proseguire e visualizzare la finestra Emsisoft Decrypter for Nemucod.

FIG 5 - Nemucod - License terms

Passo 4: 
Per default il tool provvede a decriptare solo i file presenti sul disco C:. Per aggiungere altri dischi cliccare sul pulsante Add File(s) e indicare il disco da aggiungere alla lista. Quando pronti, cliccare sul pulsante Decrypt per avviare l'operazione. Al termine verrà visualizzato il log delle operazioni effettuate che è possibile salvare (cliccando su Save log) e consultare in seguito.

FIG 6 - Nemucod - Emsisoft Decrypter

FIG 7 - Nemucod - Emsisoft Decrypter, risultati