Cuidado Nuevo Ransomware GandCrad, se propaga por SPAM, archivo pdf adjunto

Como otros Ransomwares se propaga usando SPAM, como ejemplo las direcciones de email y tiene un adjunto con un archivo PDF:

Tener cuidado los siguientes correos:

Date: Tuesday 2018–02–06
Received from: cdkconstruction.org ([188.138.75.13])
Email sender examples:

  • From: “Brandon Clay” <Brandon@cdkconstruction.org>
  • From: “Carmen Cresswell” <Carmen@cdkconstruction.org>
  • From: “Fredric Elvy” <Fredric@cdkconstruction.org>
  • From: “Mayra Mulroney” <Mayra@cdkconstruction.org>
  • From: “Maricela Audeley” <Maricela@cdkconstruction.org>
  • From: “Megan Ilonka” <Megan@cdkconstruction.org>

Email subject examples:

  • Subject: Electricity bill Feb-6509
  • Subject: Electricity bill Feb-7305
  • Subject: Electricity bill Feb-22217
  • Subject: Electricity bill Feb-43843
  • Subject: Electricity bill Feb-185791
  • Subject: Electricity bill Feb-650705

Método de infección:

El correo electrónico tiene un archivo adjunto PDF, en el ejemplo se llama: Feb-7149280.pdf

El archivo PDF, tiene un enlace que al hacer click se redirige a un archivo en word, en el ejemplo: Feb-00974.doc

Al abrir el arhivo en word, te saldra una alerta “Security Warning: Macros have been disabled”, aqui viene el error si le das habilitar se ejecutará el malware con toda su capacidad.

Luego procederá a encriptar los archivos de tu computador, por ejemplo archivos jpg, fijarse la nueva extensión: .GDCB

Antes: Namefile.jpg

Ahora: Namefile.jpg.GFCB

En un archivo GFBC-DECRYP.txt, se puede observar el mensaje donde explica las instrucciones para recuperar los archivos originales, donde la única forma de recuperarlos es a través de la compra de la llave privada que esta alojada en sus servidores.

¿Cuanto pagar para recuperar los archivos?:

Las instrucciones son muy parecidas a otros ransomwares, te indican bajar el TOR Brower para ser anonimo y te brindan su enlace:

http://gdcbghvjyqy7jclk.onion/

Donde estará el mensaje de cuanto dinero hay que pagar para comprar el GandCrab Decryptor:

Como se puede observar a diferencia con otros ransomwares que te piden bitcoins, aqui te están pidiendo 2.07 DASH que serían equivalente a 1200 dólares americanos y te brinda la dirección de su cuenta DASH.

Trafico de Red:

Tomando como base la referencia en un entorno local, primero establece una conexión HTTP GET request al dominio indicado: butcaketforthen.com (Direccción IP: 119.28.111.49), para el archivo en Word. Luego hace un HTTP request al sorinnohoun.com (Direccción IP: 119.28.111.49 -> 10.2.7.1, 10.2.7.101) por el Word macro para el script PowerShell. Despues post la infección hay trafico hacia nomoreransom.coin (Direccción IP: 66.171.248.178, 151.248.118.75) causado por GandCrab DLL.

Ejecución del PowerShell llamando al Macro en Word, fijarse la conexión al Host: sorinohoun.com, GET /scl/sct5 HTTP/1.1 Fecha: 07 de Febrero 2018, el script tiene dos modulos: Carga del DLL/EXE dentro del PowerShell en un proceso remoto.

Como parte del proceso invoca la función Invoke-GrandCrab, que es un string codificado en Base64.

Recomendar a los administradores:

Microsoft Software Restriction Policies:

Microsoft AppLocker:

Fuente: https://isc.sans.edu/

Fuente: https://myonlinesecurity.co.uk/fake-receipt-malspam-delivers-gandcrab-ransomware-via-pdf-dropping-macro-dropping-exploit-file/

Fuente: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831534(v=ws.11)

Fuente: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd759123%28v%3dws.11%29

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store