giovedì 5 maggio 2016

Ransomware CryptXXX: analisi e soluzione!

Avvisi:
1. questa soluzione riguarda la versione 1.0 del CryptXXX. Ne è in circolazione una versione 2.0
2. questa soluzione non ha efficacia nel 100% dei casi.


Verso metà Aprile è stata registrata, anche in Italia, una nuova campagna di diffusione del ransomware CryptXXX, un ransomware piuttosto insidioso.
Ne forniamo una breve analisi, ma sopratutto la soluzione approntata da Kaspersky Lab.

 
Che cosa fa?
Oltre a rendere illeggibili i file, ne modifica l’estensione in .crypt. Cripta tutti  i file, sia quelli in locale che quelli nei dispositivi in rete.  Ma non si limita a questo: questo ransomware proverà a svuotare il tuo conto bitcoin, qualora tu l’abbia, e a rubare molte altre informazioni come le credenziali legate al tuo client FTP, email, password , user e info di navigazione dal tuo browser e ogni account di messaggistica.


Nelle cartelle criptate lascia, come fanno  molti altri ransomware, 3 tipi di file:de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html

in cui è rintracciabile la richiesta di riscatto che ammonta a circa 1,2 bitcoin, ovvero circa 466 euro.




Ha una particolarità!
L’operazione di criptazione non è immediata, ma ritardata.
Tendenzialmente il ransomware aspetta circa 1 ora per attivarsi (ma la tempistica è random),  ritardo sicuramente utile a rendere più difficile l’accostamento tra il vettore (il sito web dannoso da cui si è diffusa l’infezione) e l’infezione stessa.

Come si diffonde?
Verso metà Aprile è stata registrata, anche in Italia, una campagna di diffusione di  una versione particolare del CryptXXX che usa l’exploit kit (
programma che sfrutta le vulnerabilità, conosciute o sconosciute, del sistema, dovute a software, sistemi operativi o browser con bug non corretti) Angler EK per diffondersi.
L
Angeler EK è diffuso su siti compromessi e infetta il PC dellutente che vi naviga con il malware Bedep (un downloader deputato a scaricare sulla macchina altri malware), che a sua volta scarica e diffonde CryptXXX, di solito assieme ad altro malware, tra cui il trojan bancario Dridex.
E
dotato di funzioni anti-analisi e ben protetto rispetto alle capacità di intercettazione degli antivirus, anche laddove è presente una funzione di analisi del comportamento dei file.

Qui potete vedere lo schema di infezione:





La soluzione!
Kaspersky ha rilasciato qualche giorno fa un tool di decriptazione gratuito, chiamato RannohDecryptor, scaricabile qui.

In prima battuta il tool tenterà, una volta che la vittima avrà fornito due file criptati, di determinare la chiave di decriptazione.Qualora non ci riesca sarà necessario, per la vittima, inserire due volte lo stesso file, uno in versione criptata e uno in versione non criptata.
Se questo può sembrare un viicolo cieco, in realtà non lo è.
Ad esempio la cartella C:\Users\Public\Pictures\Sample Pictures (immagini campione di Windows) viene criptata nella quasi totalità dei casi. Le immagini contenute in questa cartella sono immagini standard di Windows: basterà quindi, anche da un altro PC, rintracciare le stesse immagini nella stessa cartella (ovviamente si dovrà procedere sulle stesse versioni di Windows), e inserire nel tool la stessa immagine in chiaro e quella criptata.
A questo punto il tool sarà in grado di determinare la chiave e provvedere alla decriptazione.

Consigliamo, una volta eseguita l'operazione di decriptazione, di effettuare una scansione approfondita con un antivirus o un antimalware, al fine di rimuovere anche eventuali altri strasichi dell'infezione.

File che indentificano il ransomware CryptXXX
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html
%AppData%\[id].dat%Temp%\{C3F31E62-344D-4056-BF01-BF77B94E0254}\api-ms-win-system-softpub-l1-1-0.dll
%Temp%\{D075E5D0-4442-4108-850E-3AD2874B270C} \api-ms-win-system-provsvc-l1-1-0.dll
%Temp%\{D4A2C643-5399-4F4F-B9BF-ECB1A25644A6}\api-ms-win-system-wer-l1-1-0.dll%Temp%\{FD68402A-8F8F-4B3D-9808-174323767296}\api-ms-win-system-advpack-l1-1-0.dll

Nessun commento:

Posta un commento