GrandCrab è uno dei più pericolosi ransomware in circolazione e da quando è stato scoperto, nel mese di aprile 2018, ha già colpito decine di migliaia di utenti in tutto il mondo causando danni per centinaia di milioni di dollari.
La buona notizia è che è possibile liberarsene definitivamente grazie ad un tool di rimozione rilasciato dai laboratori di ricerca di BitDefender in collaborazione con la polizia rumena, l’Europol e altre forze dell’ordine di diversi paesi.
Come tutti gli altri ransomware, anche GrandCrab è un cosiddetto “virus sequestra-PC” che, una volta infettato il sistema target, cripta i file di sistema e i documenti dell’utente impedendone l’accesso e bloccando di fatto l’utilizzo del computer stesso.
Il ransomware GrandCrab ha avuto numerose varianti (attualmente siamo alla 5.1) distribuite mediante diverse tecniche criminose: attraverso le reti peer-to-peer, su siti Web compromessi e massicce campagne di spam e phishing.
Indice degli argomenti
Ransomware GrandCrab: ecco come decodificare i file criptati
Qualora si dovesse rimanere vittime di GrandCrab, è possibile utilizzare il tool di decodifica rilasciato da BitDefender per decodificare i file criptati dal ransomware.
Occorre innanzitutto scaricare il tool di decodifica.
Terminato il download, è possibile avviare il file BDGandCrabDecryptTool.exe con un doppio clic del mouse per avviarlo. Non è richiesta alcuna installazione per funzionare. Nelle ultime versioni di Windows 10 potrebbe comparire a video un messaggio di SmartScreen che ci informa che non è stato possibile verificare l’autenticità del tool: ovviamente proseguiamo senza preoccupazioni cliccando sul pulsante Esegui e poi su SI nella successiva finestra del Controllo utente.
Nella schermata di presentazione della licenza d’uso del tool spuntiamo la casella I agree with the terms of use e clicchiamo su CONTINUE.
È bene comunque tenere presente che il tool di decodifica funziona con tutte le versioni di GrandCrab fino alla 5.1. I ricercatori di BitDefender, però, temono che come già successo in passato i criminal hacker siano già al lavoro per rilasciare una nuova variante del ransomware che utilizza un algoritmo di crittografia “resistente” al tool di decodifica. Qualora si dovesse rimanere vittime di questa nuova variante, occorrerà ovviamente attendere il rilascio di una nuova versione del tool di decodifica per rientrare in possesso dei propri file.
Nel frattempo, è possibile utilizzare il servizio on-line No More Ransom per individuare il ransomware che ha infettato il PC e verificare la presenza di una possibile soluzione.
Dallo spam al sextortion: tutte le varianti di GrandCrab
GrandCrab è stato inizialmente diffuso nel più classico dei modi: mediante una massiva campagna di spam in cui i messaggi di posta elettronica maligni distribuivano finti biglietti aerei, fatture e documenti di varia natura, ma in realtà nascondevano un allegato in JavaScript che, se scaricato ed eseguito, avviava l’installazione del malware GrandCrab sul computer della vittima. Al termine, il ransomware iniziava subito la sua azione criminosa criptando i principali file di sistema e i documenti dell’utente, bloccando di fatto l’utilizzo del PC stesso.
La richiesta di riscatto era di 400 dollari, circa 330 euro con il cambio dell’epoca, e si poteva pagare solo usando la criptovaluta Dash su rete Tor. In questo modo i criminal hacker sviluppatori del ransomware potevano “nascondere” le loro tracce e quelle del wallet di cryptovalute. Curioso notare che la cifra del riscatto raddoppiava se la vittima non pagava entro una settimana.
Più recentemente, il ransomware GrandCrab ha fatto nuovamente parlare di sé per una famosa truffa a luci rosse. In questo caso, la tecnica di social engineering utilizzata dai criminal hacker consisteva in una semplice e-mail con la quale si informava la vittima che il suo PC era stato infettato con un trojan utilizzato per registrare un video dalla webcam mentre guardava video pornografici su Internet. Il messaggio si concludeva chiedendo un riscatto in Bitcoin e minacciando di diffondere il video in caso di mancato pagamento.
Per rendere la truffa più credibile, nel testo del messaggio di posta elettronica era presente un link ad una presentazione PowerPoint contenente alcuni screenshot che ritraevano la povera vittima intenta nelle sue presunte scorribande su Internet. Ovviamente il link non conduceva a nessuna presentazione on-line, ma avviava il download dell’eseguibile di GrandCrab sul computer della vittima.
Nell’ultima variante identificata e ancora attiva, GrandCrab ha iniziato ad attaccare le organizzazioni tramite istanze di desktop remoto (Remote Desktop Protocol) esposte o accedendo direttamente con le credenziali di dominio rubate mediante attacchi di tipo brute force. Dopo l’autenticazione su un PC compromesso, gli aggressori eseguono manualmente il ransomware e lo istruiscono a diffondersi sull’intera rete locale. Una volta che la rete è infetta, gli aggressori puliscono le loro tracce e contattano la vittima con una richiesta di riscatto. In altri casi, i criminal hacker hanno iniziato a diffondere il ransomware nelle aziende sfruttando alcune vulnerabilità nel software di supporto IT utilizzato dai fornitori di servizi per la gestione da remoto delle postazioni di lavoro dei clienti.
