GandCrab è uno dei ransomware che nel corso degli ultimi mesi hanno fatto più danni su scala mondiale. Durante tutto il 2018 la minaccia ha registrato una continua evoluzione diffondendosi in rete sotto vesti sempre diverse.
Il ransomware, probabilmente di origine russa, è stato distribuito attraverso molteplici canali: sui network peer-to-peer, attraverso pagine web, campagne spam e phishing (utilizzando tecniche di ingegneria sociale).
Di recente alcuni gruppi di cybercriminali affiliati agli sviluppatori di GandCrab avevano sviluppato una routine con lo scopo di aggredire i server di desktop remoto (RDP) esposti sulla rete Internet sferrando attacchi brute force o utilizzando credenziali rubate. Una volta violato il server RDP, il ransomware veniva diffuso all’interno della rete locale utilizzando i privilegi degli utenti e le cartelle condivise: vedere RDP, cos’è e perché gli attacchi brute force sono in aumento.
La nota società Bitdefender, in collaborazione con la polizia rumena ed Europol, annuncia di aver sviluppato un software per la decodifica dei file crittografati dal ransomware GandCrab, in tutte le versioni “fino a ieri” conosciute (dalla 4 alla 5.1 comprese).
Stando ai dati diffusi da Bitdefender, l’utilità gratuita appena distribuita nella sua incarnazione più aggiornata avrebbe aiutato oltre 10.000 utenti a recuperare i loro file i quali, diversamente, avrebbero dovuto complessivamente pagare oltre 4,4 milioni di euro di riscatto.
Il tool per la decodifica è stato reso disponibile non soltanto sul sito di Bitdefender ma anche sul sito dell’iniziativa No More Ransom.
Se non si fosse sicuri del ransomware con cui si ha a che fare, si può puntare il browser a questo indirizzo quindi caricare due file crittografati e il messaggio con la richiesta di riscatto lasciato dai criminali informatici: il servizio No More Ransom riconoscerà immediatamente il tipo di aggressione e suggerirà lo strumento da utilizzare per recuperare i propri file (se disponibile).
I malware writer non sono però stati a guardare: com’è generalmente accaduto nella storia di GandCrab, gli sviluppatori hanno subito dato il via a una nuova variante del malware (versione 5.2). I file da questa crittografati non possono essere decifrati e recuperati, almeno per il momento.