Stato della minaccia cibernetica in Italia e possibile evoluzioni
27 febbraio 2018
Responsabilità del genitore per reati del minore commessi online
1 marzo 2018
Mostra tutti

Come rimuovere gratuitamente Ransomware GANDCRAB e decifrare i file .GDCB

Come rimuovere gratuitamente Ransomware GANDCRAB – Disponibile online il Kit di recupero gratuito

Cos’ è il  Ransomware GANDCRAB

GANDCRAB è un altro virus di tipo ransomware distribuito utilizzando il toolkit RigEK. Una volta infiltrato nel sistema, crittografa la maggior parte dei dati memorizzati e aggiunge l’ estensione “. GDCB” al nome di ciascun file compromesso. Da questo punto in poi i file diventano inutilizzabili. Subito dopo la crittografia, GANDCRAB genera un file “GDCB-DECRYPT. txt” e ne inserisce una copia in ogni cartella esistente.

Il nuovo file di testo contiene informazioni sulla situazione attuale e dà istruzioni alle vittime su come procedere. Per decrittografare i dati, le vittime devono aprire una pagina web Tor e seguire le istruzioni all’ interno. Il sito web afferma che la decodifica richiede una chiave univoca, memorizzata su un server remoto controllato dagli sviluppatori di GANDCRAB. Purtroppo, queste informazioni sono esatte. Sebbene attualmente non sia noto se GANDCRAB utilizzi la crittografia simmetrica o asimmetrica, in tutti i casi la decodifica dei file senza chiave è impossibile. Pertanto, le vittime sono incoraggiate a pagare 1,5 Dash (cryptocurrency), attualmente equivalente a ~ $1130. GANDCRAB è il primo ransomware finora che accetta monete Dash. Una volta pagato il riscatto, la chiave di decodifica viene presumibilmente rilasciata. Siate consapevoli, tuttavia, che i cybercriminali non possono essere fidati. Il costo è elevato e i criminali probabilmente ignoreranno le vittime una volta effettuato il pagamento. Per questi motivi, si consiglia di non contattare mai queste persone o pagare riscatti. Purtroppo, purtroppo, non ci sono strumenti in grado di ripristinare i file crittografati da GANDCRAB. Pertanto, l’ unica soluzione è ripristinare tutto da un backup.

GandCrab, ransomware,

GANDCRAB è un ransomware regolare e condivide molte somiglianze con InsaneCrypt, Velso, Rapid, Cyber Police e decine di altri virus di tipo ransomware. Come con GANDCRAB, queste infezioni malware crittografano anche i file memorizzati e fanno richieste di riscatto. Nella maggior parte dei casi, le uniche differenze principali sono la dimensione del riscatto e il tipo di algoritmi di crittografia utilizzati. La ricerca dimostra che, purtroppo, la maggior parte di questi virus utilizzano algoritmi (ad es. RSA, AES e così via) che generano chiavi di decrittazione univoche. Quindi, a meno che ransomware non abbia certi bug/flaws (ad esempio, la chiave è codificata a hard-coded, memorizzata localmente o simili), il ripristino manuale dei file senza il coinvolgimento degli sviluppatori (contattare queste persone non è consigliato) è impossibile. Virus come GANDCRAB presentano un caso forte per mantenere i backup regolari dei dati, tuttavia, si noti che la memorizzazione locale dei file di backup non è sicura – ransomware li crittografa come con qualsiasi altro file. I backup devono essere memorizzati su un server remoto (ad es. Cloud) o su una memoria esterna scollegata.

Il testo presente nel file di testo di GANDCRAB ransomware (“GDCB-DECRYPT.txt“):

—= GANDCRAB =—

Attention!
All your files documents, photos, databases and other important files are encrypted and have the extension: .GDCB
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files.
The server with your key is in a closed network TOR. You can get there by the following ways:
1. Download Tor browser – hxxps://www.torproject.org/
2. Install Tor browser
3. Open Tor Browser
4. Open link in tor browser: hxxp://gdcbghvjyqy7jclk.onion/113737081e857d00
5. Follow the instructions on this page

If Tor/Tor browser is locked in your country or you can not install it, open one of the following links in your regular browser:
1. hxxp://gdcbghvjyqy7jclk.onion.top/113737081e857d00
2. hxxp://gdcbghvjyqy7jclk.onion.casa/113737081e857d00
3. hxxp://gdcbghvjyqy7jclk.onion.guide/113737081e857d00
4. hxxp://gdcbghvjyqy7jclk.onion.rip/113737081e857d00
5. hxxp://gdcbghvjyqy7jclk.onion.plus/113737081e857d00

On our page you will see instructions on payment and get the opportunity to decrypt 1 file for free.
DANGEROUS!
Do not try to modify files or use your own private key – this will result in the loss of your data forever!

Come avviene una infezione di ransomware

I virus di tipo Ransomware proliferano in vari modi:

  • e-mail di spam;
  • fonti non ufficiali per il download di software;
  • reti peer-to-peer [P2P] ,
  • software di aggiornamento falsi, e trojan.

RICORDA: Le e-mail di spam contengono spesso allegati dannosi, come file JavaScript, documenti MS Office, ecc. Una volta aperti, questi allegati scaricano e installano furtivamente malware. Fonti di download di software di terze parti (sito web di file hosting gratuito, siti di download freeware, ecc.) e reti P2P (eMule, torrents, e così via) proliferano eseguibili maligni presentandoli come software legittimo. Gli utenti sono indotti a scaricare/installare malware. Falsi programmi di aggiornamento software infettano il sistema sfruttando bug/leggi software obsoleti o scaricando malware piuttosto che aggiornamenti software. I cavalli di Troia sono i più semplici: aprono semplicemente “backdoor” per far infiltrare al sistema altri virus ad alto rischio.

GandCrab ha fatto più di 50 000 vittime in meno di un mese

A partire da oggi, un nuovo strumento di decrittazione per le vittime del ransomware GandCrab è accessibile www.nomoreransom.org . Questo strumento è stato rilasciato dalla Polizia rumena (IGPR) sotto la supervisione dell’Ufficio del Procuratore generale (DIICOT) e in collaborazione con la società di sicurezza Internet Bitdefender ed Europol.

Rilevato un mese fa, GandCrab ha già fatto 50.000 vittime in tutto il mondo, un vasto numero in Europa, rendendola una delle forme più aggressive di ransomware fino ad oggi.

GandCrab diffonde attraverso annunci dannosi pubblicate su siti web compromessi o tramite fatture fittizie inviati come allegati a messaggi di posta elettronica. Una volta installato sul computer della vittima, il ransomware crittografa i file sul sistema infetto, offrendo una chiave di decifratura in cambio di un pagamento del riscatto di USD 300-500 nella moneta virtuale DASH.

Grazie agli sforzi delle autorità rumene, Bitdefender e l’Europol, lo strumento è disponibile gratuitamente su No More Ransom.

Funziona per tutte le versioni conosciute della famiglia GandCrab ransomware. Il rilascio di questo nuovo strumento è l’ennesimo esempio della efficacia di partenariati pubblico – privato come No More Ransom, un’iniziativa che ora comprende 120 soci.

GandCrab, ransomware,

Schermata dei file crittografati da GANDCRAB (estensione”. GDCB”):

Analisi di un attacco ransomware

Un attacco ransomware è generalmente compiuto inviando un’e-mail con allegati, che possono essere un file eseguibile, un archivio o un’immagine. Una volta aperto l’allegato, il malware viene rilasciato nel sistema dell’utente. I criminali informatici possono anche inoculare il malware sui siti web. Quando un utente ignaro visita il sito, il malware è rilasciato nel sistema.

L’utente non si accorge immediatamente dell’infezione in quanto il malware opera silenziosamente in background finché non viene impiegato il meccanismo di blocco dei dati o del sistema. A questo punto appare una finestra di dialogo, dove si avvisa l’utente che i suoi dati sono stati bloccati, e si chiede un riscatto per sbloccarli. A quel punto però è troppo tardi per salvare i dati attraverso qualunque misura di sicurezza.

Come prevenire un attacco ransomware?

    1. Back-up! Back-up! Back-up! Assicuratevi di attivare un sistema di recupero dei vostri dati, in modo da evitare che un’infezione da ransomware sia in grado di distruggere i vostri dati in modo definitivo. La cosa migliore è creare due copie di back-up: una da salvare nel cloud (ricordatevi di utilizzare un servizio che può fare un backup automatico dei vostri file) e una da salvare fisicamente (su un hard drive portatile, un dispositivo USB, un pc portatile extra, etc.). Una volta salvati i dati, disconnettete i dispositivi dal vostro computer. Le copie di back- up potrebbero esservi utili anche nel caso abbiate cancellato erroneamente un file importante o nel caso di un improvviso guasto dell’hard drive.
    2. Utilizzate software antivirus robusti, in modo da proteggere il vostro sistema dai ransomware. Non disattivate le funzioni “euristiche”, perché queste aiutano il programma a catturare i campioni di ransomware che non sono ancora stati ufficialmente individuati.
    3. Mantenete aggiornato il software sul vostro computer. Quando il Vostro Sistema operativo (OS) o le applicazioni rilasciano una nuova versione, installatela. Se il software offre l’opzione di aggiornamento automatico, utilizzatela.
  • Letteralmente, non fidatevi di nessuno! Qualsiasi account potrebbe venire compromesso e i link maligni possono essere inviati dagli account degli amici sui social media, dalle caselle mail dei vostri colleghi di lavoro o dalle chat dei giochi di on-line gaming. Non aprite mai gli allegati delle email di sconosciuti. I cyber-criminali spesso distribuiscono falsi messaggi email che assomigliano molto a delle notifiche da parte di negozi online, banche, polizia, tribunali o agenzie fiscali e che inducono il ricevente a cliccare sul link maligno, rilasciando quindi il malware nel sistema del ricevente. Questo schema è denominato ‘phishing’.
  • Consentite l’opzione ‘Mostra estensioni file’ nelle impostazioni Windows sul vostro computer. Questo vi consentirà di individuare più facilmente i file potenzialmente maligni. Tenete lontane le estensioni file del tipo ‘.exe’, ‘.vbs’ and ‘.scr’. I criminali possono usare varie estensioni per nascondere un file maligno quale un video, una foto o un documento (come hot-chics.avi.exe or doc.scr).
  • Se scoprite un processo sospetto o sconosciuto sul vostro computer, disconnettetelo immediatamente da internet o da altre connessioni di rete (come home Wi-Fi) — questo impedirà all’infezione di diffondersi.

Ulteriori consigli di sicurezza per impedire l’infezione in rete di ransomware

  1. Disabilitare smb v1, impedisce ai ransomware di diffondersi nel vostro network
  2. Installate le patch di Microsoft, anche questo previene la diffusione all’interno della vostra rete. Per maggiori informazioni cliccate qui.

Tool per decriptare GandCrab ransomware

BDGandCrabDecryptTool e’ progettato per decrittare file criptati da GandCrab

La Guida completa per la rimozione di GandCrab ransomware e l’uso di BDGandCrabDecryptTool  è disponibile qui.

 

Valutazione Media
Last Reviewer
Reviewed Item
Come rimuovere gratuitamente Ransomware GANDCRAB e decifrare i file .GDCB
Rating
51star1star1star1star1star
Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at ErreBi Group S.r.l.
Ethical Hacker | Blogger | Developer | Graphic & Web Designer | Consulente d'Immagine | Social Media Marketing Manager | Copywriter | SEO Specialist | Digital Influencer | IT Cybersecurity Senior Manager
Rocco Balzamà
Rocco Balzamà