La scorsa settimana sono state rilasciate ben 6 nuovi ransomware,
considerando versioni migliorate di ransomware già esistenti, nuovi ransomware
e così via…
Non le affronteremo tutte: ci limitiamo a quei casi che hanno colpito utenti italiani o europei.
Ci occupiamo intanto del ransomware CryptXXX 2.0
CryptXXX 2.0
Ne abbiamo già parlato qui. Questa però è la versione 2.0, rilasciata in seguito alla diffusione online,da parte di Kaspersky, di un tool di decriptazione gratuito.
Che cosa fa?
Crypta i file e ne modifica l’estenzione in .crypt .
Il ransomware non crea più i 3 file “de_crypt_readme” in .txt, .bmp, .html, ma crea una nota di riscatto rinominata secondo l’id unico che viene assegnato alla vittima.
ad esempio 8261b44400A5.html.
La nuova versione ha la particolarità principale di bloccare lo schermo e rendereinutilizzabile il computer infetto. Non c’è certezza che pagare il riscatto comporti lo sblocco del computer e la messa in chiaro dei file!
Non le affronteremo tutte: ci limitiamo a quei casi che hanno colpito utenti italiani o europei.
Ci occupiamo intanto del ransomware CryptXXX 2.0
CryptXXX 2.0
Ne abbiamo già parlato qui. Questa però è la versione 2.0, rilasciata in seguito alla diffusione online,da parte di Kaspersky, di un tool di decriptazione gratuito.
Che cosa fa?
Crypta i file e ne modifica l’estenzione in .crypt .
Il ransomware non crea più i 3 file “de_crypt_readme” in .txt, .bmp, .html, ma crea una nota di riscatto rinominata secondo l’id unico che viene assegnato alla vittima.
ad esempio 8261b44400A5.html.
La nuova versione ha la particolarità principale di bloccare lo schermo e rendereinutilizzabile il computer infetto. Non c’è certezza che pagare il riscatto comporti lo sblocco del computer e la messa in chiaro dei file!
comperare il Google Decrypter e non più il CryptoWall Decrypter, forse al fine di rendere più difficile alle vittime capire cosa stiano facendo.
Come si diffonde?
E’ diffuso tramite, principalmente, l’exploit kit Angeler EK. La versione 1.0 prevedeva un meccanismo di questo tipo: l’exploit kit sfruttava la vulnerabilità, portava nella macchina un malware (di solito Bedep) e questo rilasciava il ransomware. In questo caso Angeler EK porta direttamente il ransomware. Basta la semplice navigazione in un sito infetto per essere colpiti da questo ransomware!
Il tool di Kaspersky funziona ancora?
Poteva infatti risultare logico pensare che la nuova caratteristica di blocco dello schermo potesse servire a rendere più difficile l’uso del tool di decriptazione, ma la realtà è che i creatori della versione 2.0 di CryptXXX hanno trovato il modo di bypassarlo.
Così Kaspersky ha rilasciato una versione aggiornata del tool Rannoh Decrypter (scaricabile qui) capace di decrittare la versione 2.0. Ma richiede che si abbiano a disposizione due versioni dei file, quella criptata e quella in chiaro e ha comunque un limite: può decriptare solo file di dimensioni uguali o più piccole della coppia di file usata per generare la chiave di decrittazione unica.
Così diventa fondamentale sfruttare la coppia di file più pesante di cui si dispone per creare la chiave, altrimenti avremo restiuito il seguente errore.
Nessun commento:
Posta un commento