Ransomware GandCrab y Soluciones

Introduccion:聽 Un Ransomware con frecuentes cambios y r谩pida expansi贸n

Estimados Reseller,

Les traemos las siguiente Informaci贸n respecto a la nueva Amenaza latente en GandCrab y sus modo soperandi y como actua聽 y como poder pararlo o protegernos.

GandCrab y Soluciones

Volvemos a sufrir un ataque cibern茅tico masivo, ahora con GandCrab 2.0. En este caso las primeras versiones aparecieron ya meses atr谩s, pero el autor de este Ransomware es muy activos y ha lanzado al menos cinco versiones hasta la fecha. Si bien no existen grandes diferencias entre las dos versiones de este Malware, los frecuentes cambios demuestra el tiempo que los atacantes est谩n invirtiendo para mantenerlo y desarrollarlo.

El GandCrab es tambi茅n el primer ransomware que exige el pago en聽criptomonedas聽DASH聽y utiliza el聽dominio de nivel superior (TLD)聽“.bit”聽.聽Este TLD no est谩 sancionado por la聽ICANN聽y, por lo tanto, proporciona un nivel extra de confidencialidad a los atacantes.

Mas tarde, GandCrab experiment贸 retrocesos iniciales cuando la compa帽铆a antivirus Bitdefender lanz贸 un descifrador para las versiones anteriores de GandCrab (v1.0 y v1.1).聽Este desencriptador fue posible no gracias a la explotaci贸n聽de los fallos del proceso de cifrado, sino m谩s bien porque el servidor web utilizado para almacenar los datos del usuario se vio comprometido y se filtraron todas las claves privadas.聽Eso brind贸 la oportunidad a algunas v铆ctimas afortunadas que se infectaron durante esa corta ventana de recuperar sus archivos sin tener que pagar ning煤n rescate.聽Este Contra-Ataque fue confirmado por el autor del Ransomware, pero reacciono r谩pidamente, creando GandCrab 2.0 que fue lanzado la misma semana y el servidor se fortaleci贸 ante futuros ataques.

GandCrab v1.1

Propagaci贸n

Tambi茅n el聽 GandCrab se distribuye a trav茅s de m煤ltiples vectores de propagaci贸n, que incluyen correos electr贸nicos no deseados, kits de explotaci贸n y otras campa帽as de malware asociado.聽GrandSoft y RIG son los dos kits de exploits m谩s utilizados para distribuir GandCrab junto con la gran cantidad de correos electr贸nicos no deseados maliciosos.聽Estos correos electr贸nicos no deseados enga帽an a los usuarios para que abran el archivo que se encuentra dentro del archivo ZIP adjunto, que generalmente es un script que descarga el Ransomware de GandCrab y lo ejecuta.

El archivo JavaScript est谩 oculto.聽Tras la ejecuci贸n, decodifica una URL donde se aloja GandCrab.聽El script luego descarga el Malware a un archivo en el disco y lo ejecuta.

Reditelsa os recomienda la lectura del post donde explicamos la limitaci贸n de ejecuci贸n de ficheros (*.com, *.exe, *.bat y *.dll) a trav茅s de la pol铆tica de Bitdefender Business Security con MSP.

La URL anteriormente mencionada parece estar alojada en un servidor chino benigno que probablemente fue atacado por los atacantes y ahora se est谩 utilizando para distribuir binarios de Ransomware de GandCrab.

Bitdefender Business Security NEW RamsoWare

Informaci贸n recopilada por el Ransomware

Luego GandCrab comienza con la actividad de reconocimiento y recoge la siguiente informaci贸n de la m谩quina de la v铆ctima:

  • Nombre de usuario
  • Nombre de PC
  • Nombre de dominio
  • Informaci贸n local
  • Dise帽o del teclado
  • Nombre del sistema operativo
  • Tipo de sistema operativo
  • Software (s) antivirus instalados
  • Nombre del procesador e identificadores
  • Tipos de unidad
  • Espacio disponible en discos duros
  • Direcci贸n IP p煤blica.

Como hemos visto en anteriores ocasiones y que demuestra el origen de este malware, durante este reconocimiento, si GandCrab identifica que un teclado es RUSO, terminar谩 la ejecuci贸n de inmediato.聽GandCrab genera un聽Ransom-ID聽exclusivo聽para cada v铆ctima calculando un hash CRC32 de la cadena formada al concatenar el n煤mero de serie del volumen, el nombre del procesador y el identificador del procesador.

Ubicaci贸n Final

Despu茅s de completar el reconocimiento, las comprobaciones iniciales y la exclusi贸n mutua, GandCrab se copia en la聽ubicaci贸n聽”聽% APPDATA% / Microsoft”con un nombre aleatorio y mantiene la persistencia 煤nica.聽Antes de hacerlo, nuevamente busca la presencia de controladores de dispositivo AV espec铆ficos pertenecientes a Kaspersky, F-Secure, Symantec Auto Protect y Symantec AV Engine.聽Si no se encuentra ninguno, se copia en la聽ubicaci贸n聽”聽% APPDATA% / Microsoft”聽.

Agrega una entrada de la ruta del archivo copiado para el ejecutable de GandCrab a la clave RunOnce de HKEY_CURRENT_USER como un mecanismo de persistencia de una sola vez.

Bitdefender Gravity Zone

Finalizaci贸n de Procesos y Nota de Rescate

Este Ransomware ademas finaliza procesos que puedan tener ficheros bloqueados y que desea cifrar, tales como:

  • Editores / Visualizadores de documentos (archivos de oficina, archivos PDF, im谩genes, archivos de texto, etc.)
  • Clientes de Correo
  • Navegadores Web
  • Aplicaciones de Base de Datos
  • Motores de Juegos

El famoso GandCrab luego descifra la nota de rescate almacenada dentro del binario usando un simple cifrado XOR.聽La clave XOR est谩 configurada en 0x5, que no ha cambiado desde la versi贸n anterior de este ransomware.聽La nota de rescate tiene un marcador de posici贸n / marcador聽“{USERID}”聽que se sustituye por el valor de Ransom-ID que se gener贸 en la etapa anterior. Dejara el fichero final en el escritorio con el nombre de聽CRAB-DECRYPT.txt

Por supuesto GandCrab realiza los procesos de generaci贸n clave (RSA), creacion de los ficheros de rescate con NotePad, ejecuci贸n con privilegios elevados, llaves AES y enumeraci贸n de archivos y directorios cifrados. Obviamos el detalle de estos pasos para ir directamente a la soluci贸n.

Atacando los puntos de restauraci贸n de Windows

Si se ejecuta con privilegios de administrador, GandCrab intenta eliminar todas las instant谩neas de datos de usuario, que son copias de seguridad autom谩ticas de archivos de usuario creados por WINDOWS VSS (Servicio de instant谩neas de volumen).

En GandCrab v2.3.1, hemos visto otra funcionalidad nueva mediante la cual intenta comprobar si la ruta de ejecuci贸n actual contiene ” MICROSOFT “.聽Si no, reinicia la m谩quina.聽Al reiniciar, GandCrab puede ejecutarse autom谩ticamente con la ayuda de la clave de persistencia 煤nica que se cre贸 previamente.聽Esta clave contiene la ruta ejecutable de la copia de GandCrab que est谩 presente en ”聽% APPDATA% microsoft .exe”.

GandCrab (v2.0 y v2.3)

B谩sicamente, en esta versi贸n, GandCrab no espera que el usuario reinicie la m谩quina para ejecutarla, sino que fuerza el reinicio y completa su actividad de ejecuci贸n sin depender de las acciones del usuario.

En 煤ltima instancia, al igual que todas las versiones anteriores, abre la URL de descarga de TOR, proporcionando a la v铆ctima un comienzo claro para descargar el navegador TOR para que puedan pagar el rescate y recuperar sus datos.

Bitdefender Business Security NEW RamsoWare

Soluciones a GandCrab

Protecci贸n y Copias de Seguridad

Ransomware es cada vez mejor y m谩s sofisticado debido a los continuos esfuerzos que los atacantes dedican a su desarrollo.聽Para mantenerse por delante de dicha amenaza, es necesario que los usuarios y las empresas cuenten con defensas de vanguardia que se habiliten con el aprendizaje autom谩tico y la heur铆stica.聽Los productos como Acronis Backup Cloud聽que tienen聽Acronis Active Protection聽incluido pueden proteger a los usuarios contra dichos ataques de ransomware.


Seguridad Gestionada y Politicas Efectivas

Dejar en manos del cliente final la protecci贸n de sus equipos es un error. Bitdefender Business Security MSP otorga la posibilidad a los resellers de crear su propio servicio de seguridad gestionada y aplicar pol铆ticas efectivas de cara a prevenir y proteger a los usuarios para que casos como el GandCrab no sea posible. Bitdefender Business Security MSP no es solo un Antivirus, es una verdadera herramienta de seguridad con multitud de funcionalidades (control de aplicaciones, dispositivos, fugas de informaci贸n, control de navegaci贸n y 14 mas..)


聽Si ya es tarde y has sufrido el ataque, no te desesperes aun hay posibilidades de recuperar la informaci贸n secuestrada. Gracias a Bitdefender, l铆der seguridad mundial, os pod茅is descargar la
Herramienta de desencriptaci贸n de GandCrab Ransomware gratuitamente aqu铆.

Download

Relativo a esta tecnolog铆a