Ransomware GetCrypt: come funziona e come decodificare i file criptati

GetCrypt è un pericoloso ransomware che viene diffuso dai criminal hacker mediante campagne massive del malvertising Popcash che reindirizzano le vittime verso siti Web compromessi dai quali viene scaricato il famoso kit di exploit RIG.

Gli script dannosi cercheranno di sfruttare le eventuali vulnerabilità individuate nel computer della vittima. In caso di successo, GetCrypt verrà scaricato e installato. Il ransomware inizierà subito a crittografare tutti i file archiviati sul computer per poi richiedere il pagamento di un riscatto per sbloccarli.

Ma la vera particolarità di questo nuovo ransomware, scoperto dal ricercatore di sicurezza noto col nickname di nao_sec, è la sua capacità di sfruttare la funzione WNetEnumResourceW per enumerare un elenco delle condivisioni di rete disponibili e accessibili dal computer appena infettato.

Se non è in grado di connettersi a una risorsa condivisa, utilizzerà un attacco di tipo brute force sfruttando un dizionario di nomi utente e password incorporato per forzarne le credenziali e connettersi utilizzando la funzione WNetAddConnection2W.

Un estratto del dizionario di username e password utilizzato da GetCrypt per violare le risorse di rete accessibili dal computer infettato.

Analisi tecnica del ransomware GetCrypt

Un’altra particolarità di GetCrypt consiste nel controllo che effettua sulla lingua predefinita del sistema operativo: se è impostata su ucraino, bielorusso, russo o kazako, il ransomware termina la sua esecuzione e non cripterà il computer.

In caso contrario, GetCrypt estrae il CPUID del computer, cioè il codice univoco corrispondente ad un’istruzione di linguaggio macchina dell’architettura x86 che permette al software di determinare il tipo di microprocessore e la presenza di caratteristiche specifiche. Il ransomware utilizzerà quindi questo codice per creare una stringa di 4 caratteri che poi utilizzerà come estensione per i file criptati.

Successivamente, GetCrypt esegue il comando vssadmin.exe delete shadows /all /quiet per cancellare le copie shadow di Windows e impedire così alla vittima di recuperare eventuali versioni precedenti e non crittografate dei suoi file.

Completata anche questa operazione, il ransomware avvia la scansione del computer alla ricerca dei file da crittografare mediante algoritmi di crittografia Salsa20 e RSA-4096 individuandoli tra quelli che non si trovano in una delle seguenti sottocartelle:

• :\$Recycle.Bin
• :\ProgramData
• :\Users\All Users
• :\Program Files
• :\Local Settings
• :\Windows
• :\Boot
• :\System Volume Information
• :\Recovery
• AppData

Durante la procedura di crittografia dei file, GetCrypt crea la nota di riscatto decrypt my files #.txt in ogni cartella criptata e sul desktop. Al suo interno vengono memorizzate le istruzioni per chiedere lo sblocco del file all’indirizzo getcrypt@cock.li e quelle per effettuare il pagamento.

La nota di riscatto del ransomware GetCrypt.

Infine, GetCrypt provvederà anche a cambiare lo sfondo del desktop con l’immagine Tempdesk.bmp memorizzata nella cartella %LocalAppData% localizzata nella directory dell’utente.

L’immagine che il ransomware GetCrypt utilizza per sostituire lo sfondo predefinito del desktop sui computer infettati.

GetCrypt: ecco come decodificare i file criptati

La buona notizia è che è possibile ripulire il computer infettato da GetCrypt grazie ad un tool di rimozione rilasciato dai laboratori di ricerca di Emsisoft.

Oltre a questo utile strumento, serve anche una copia originale non criptata di un file che è stato bloccato dal ransomware. È possibile recuperarlo, ad esempio, da un backup realizzato prima che avvenisse l’infezione del malware.

Prima di procedere occorre, innanzitutto, scaricare il tool di rimozione dal sito ufficiale.

Terminato il download, avviamo il file decrypt_GetCrypt.exe utilizzando i privilegi di amministratore. Per farlo, selezioniamo il file col tasto destro del mouse e, dal menu contestuale che appare, clicchiamo sulla voce di menu Esegui come amministratore.

Se sul computer è installato Windows 10, apparirà una schermata che ci informa del fatto che l’applicazione non è un’app verificata del Microsoft Store. Ovviamente clicchiamo senza preoccupazioni su Installa comunque.

Potrebbe comparire un altro messaggio, questa volta di SmartScreen, che ci informa che non è stato possibile verificare l’autenticità del tool: anche in questo caso, proseguiamo senza preoccupazioni cliccando sul pulsante Esegui e poi su SI nella successiva finestra del Controllo utente.

Il tool di rimozione non necessita di installazione per funzionare.

Nella schermata License Terms che appare clicchiamo su Yes per accettare le condizioni d’uso.

Apparirà la semplice interfaccia grafica del tool di rimozione Emsisoft Decrypter for GetCrypt. Nella sezione Bruteforce clicchiamo sul pulsante Browse in corrispondenza della voce Please select an encrypted file e carichiamo un file criptato dal ransomware GetCrypt.

Quindi, clicchiamo anche sul pulsante Browse in corrispondenza della voce Please select the original of the same file per caricare anche una copia non criptata dello stesso file.

Cliccando adesso su Start il tool di rimozione utilizzerà un algoritmo di forza bruta per individuare la chiave crittografica utilizzata dal ransomware GetCrypt e procederà a sbloccare tutti i file bloccati.