Home » Ransomware GandCrab y Soluciones con Bitdefender

Ransomware GandCrab y Soluciones

Introduccion:  Un Ransomware con frecuentes cambios y rápida expansión

Volvemos a sufrir un ataque cibernético masivo, ahora con GandCrab 2.0. En este caso las primeras versiones aparecieron ya meses atrás, pero el autor de este Ransomware es muy activos y ha lanzado al menos cinco versiones hasta la fecha. Si bien no existen grandes diferencias entre las dos versiones de este Malware, los frecuentes cambios demuestra el tiempo que los atacantes están invirtiendo para mantenerlo y desarrollarlo.

El GandCrab es también el primer ransomware que exige el pago en criptomonedas DASH y utiliza el dominio de nivel superior (TLD) “.bit” Este TLD no está sancionado por la ICANN y, por lo tanto, proporciona un nivel extra de confidencialidad a los atacantes.

Mas tarde, GandCrab experimentó retrocesos iniciales cuando la compañía antivirus Bitdefender lanzó un descifrador para las versiones anteriores de GandCrab (v1.0 y v1.1). Este desencriptador fue posible no gracias a la explotación de los fallos del proceso de cifrado, sino más bien porque el servidor web utilizado para almacenar los datos del usuario se vio comprometido y se filtraron todas las claves privadas. Eso brindó la oportunidad a algunas víctimas afortunadas que se infectaron durante esa corta ventana de recuperar sus archivos sin tener que pagar ningún rescate. Este Contra-Ataque fue confirmado por el autor del Ransomware, pero reacciono rápidamente, creando GandCrab 2.0 que fue lanzado la misma semana y el servidor se fortaleció ante futuros ataques.

GandCrab v1.1

Propagación

También el  GandCrab se distribuye a través de múltiples vectores de propagación, que incluyen correos electrónicos no deseados, kits de explotación y otras campañas de malware asociado. GrandSoft y RIG son los dos kits de exploits más utilizados para distribuir GandCrab junto con la gran cantidad de correos electrónicos no deseados maliciosos. Estos correos electrónicos no deseados engañan a los usuarios para que abran el archivo que se encuentra dentro del archivo ZIP adjunto, que generalmente es un script que descarga el Ransomware de GandCrab y lo ejecuta.

El archivo JavaScript está oculto. Tras la ejecución, decodifica una URL donde se aloja GandCrab. El script luego descarga el Malware a un archivo en el disco y lo ejecuta.

Reditelsa os recomienda la lectura del post donde explicamos la limitación de ejecución de ficheros (*.com, *.exe, *.bat y *.dll) a través de la política de Bitdefender Business Security con MSP.

La URL anteriormente mencionada parece estar alojada en un servidor chino benigno que probablemente fue atacado por los atacantes y ahora se está utilizando para distribuir binarios de Ransomware de GandCrab.

Bitdefender Business Security NEW RamsoWare

Información recopilada por el Ransomware

Luego GandCrab comienza con la actividad de reconocimiento y recoge la siguiente información de la máquina de la víctima:

  • Nombre de usuario
  • Nombre de PC
  • Nombre de dominio
  • Información local
  • Diseño del teclado
  • Nombre del sistema operativo
  • Tipo de sistema operativo
  • Software (s) antivirus instalados
  • Nombre del procesador e identificadores
  • Tipos de unidad
  • Espacio disponible en discos duros
  • Dirección IP pública.

Como hemos visto en anteriores ocasiones y que demuestra el origen de este malware, durante este reconocimiento, si GandCrab identifica que un teclado es RUSO, terminará la ejecución de inmediato. GandCrab genera un Ransom-ID exclusivo para cada víctima calculando un hash CRC32 de la cadena formada al concatenar el número de serie del volumen, el nombre del procesador y el identificador del procesador.

Ubicación Final

Después de completar el reconocimiento, las comprobaciones iniciales y la exclusión mutua, GandCrab se copia en la ubicación ” % APPDATA% / Microsoft”con un nombre aleatorio y mantiene la persistencia única. Antes de hacerlo, nuevamente busca la presencia de controladores de dispositivo AV específicos pertenecientes a Kaspersky, F-Secure, Symantec Auto Protect y Symantec AV Engine. Si no se encuentra ninguno, se copia en la ubicación ” % APPDATA% / Microsoft” .

Agrega una entrada de la ruta del archivo copiado para el ejecutable de GandCrab a la clave RunOnce de HKEY_CURRENT_USER como un mecanismo de persistencia de una sola vez.

Bitdefender Gravity Zone

Finalización de Procesos y Nota de Rescate

Este Ransomware ademas finaliza procesos que puedan tener ficheros bloqueados y que desea cifrar, tales como:

  • Editores / Visualizadores de documentos (archivos de oficina, archivos PDF, imágenes, archivos de texto, etc.)
  • Clientes de Correo
  • Navegadores Web
  • Aplicaciones de Base de Datos
  • Motores de Juegos

El famoso GandCrab luego descifra la nota de rescate almacenada dentro del binario usando un simple cifrado XOR. La clave XOR está configurada en 0x5, que no ha cambiado desde la versión anterior de este ransomware. La nota de rescate tiene un marcador de posición / marcador “{USERID}” que se sustituye por el valor de Ransom-ID que se generó en la etapa anterior. Dejara el fichero final en el escritorio con el nombre de CRAB-DECRYPT.txt

Por supuesto GandCrab realiza los procesos de generación clave (RSA), creacion de los ficheros de rescate con NotePad, ejecución con privilegios elevados, llaves AES y enumeración de archivos y directorios cifrados. Obviamos el detalle de estos pasos para ir directamente a la solución.

Atacando los puntos de restauración de Windows

Si se ejecuta con privilegios de administrador, GandCrab intenta eliminar todas las instantáneas de datos de usuario, que son copias de seguridad automáticas de archivos de usuario creados por WINDOWS VSS (Servicio de instantáneas de volumen).

En GandCrab v2.3.1, hemos visto otra funcionalidad nueva mediante la cual intenta comprobar si la ruta de ejecución actual contiene ” MICROSOFT “. Si no, reinicia la máquina. Al reiniciar, GandCrab puede ejecutarse automáticamente con la ayuda de la clave de persistencia única que se creó previamente. Esta clave contiene la ruta ejecutable de la copia de GandCrab que está presente en ” % APPDATA% microsoft <random_name> .exe”.

GandCrab (v2.0 y v2.3)

Básicamente, en esta versión, GandCrab no espera que el usuario reinicie la máquina para ejecutarla, sino que fuerza el reinicio y completa su actividad de ejecución sin depender de las acciones del usuario.

En última instancia, al igual que todas las versiones anteriores, abre la URL de descarga de TOR, proporcionando a la víctima un comienzo claro para descargar el navegador TOR para que puedan pagar el rescate y recuperar sus datos.

Bitdefender Business Security NEW RamsoWare

Soluciones a GandCrab

Protección y Copias de Seguridad

Ransomware es cada vez mejor y más sofisticado debido a los continuos esfuerzos que los atacantes dedican a su desarrollo. Para mantenerse por delante de dicha amenaza, es necesario que los usuarios y las empresas cuenten con defensas de vanguardia que se habiliten con el aprendizaje automático y la heurística. Los productos como Acronis Backup Cloud que tienen Acronis Active Protection incluido pueden proteger a los usuarios contra dichos ataques de ransomware.


Seguridad Gestionada y Politicas Efectivas

Dejar en manos del cliente final la protección de sus equipos es un error. Bitdefender Business Security MSP otorga la posibilidad a los resellers de crear su propio servicio de seguridad gestionada y aplicar políticas efectivas de cara a prevenir y proteger a los usuarios para que casos como el GandCrab no sea posible. Bitdefender Business Security MSP no es solo un Antivirus, es una verdadera herramienta de seguridad con multitud de funcionalidades (control de aplicaciones, dispositivos, fugas de información, control de navegación y 14 mas..)


 Si ya es tarde y has sufrido el ataque, no te desesperes aun hay posibilidades de recuperar la información secuestrada. Gracias a Bitdefender, líder seguridad mundial, os podéis descargar la
Herramienta de desencriptación de GandCrab Ransomware gratuitamente aquí.

Download