giovedì 20 ottobre 2016

Ransomware alert! Exotic cripta anche i file eseguibili

NB: al momento non esistono soluzioni per la decriptazione dei file.

È in diffusione un nuovo malware chiamato Exotic ransomware.

Che tipo di ransomware è questo Exotic Malware?
Si tratta di un ransomware che non presenta caratteristiche molto dissimili o originali rispetto agli altri ransomware ad oggi in circolazione, fatta eccezione per il fatto che  cerca e cripta anche i file eseguibili: si rende così impossibile avviare i programmi il cui eseguibile viene criptato. La buona notizia è che la maggior parte degli eseguibili sono contenuti in cartelle che non sono un bersaglio previsto di questo ransomware: se vi capita però di avere degli eseguibili nella cartella dei Download, ad esempio, in caso di attacco saranno criptati.
Attualmente è in diffusione in modalità di sviluppo, con ben tre differenti versioni messe in diffusione in appena tre giorni. Richiede un riscatto di circa 50 dollari.
Rientra a pieno titolo nella categoria, sempre più numerosa, dei ransomware low-quality (ne abbiamo scritto qui).

Il processo di crittografia di Exotic Ransomware:
Quando il ransomware si avvia, scansiona specifiche cartelle in cerca di specifiche estensioni di file. Quando incontra una estensione di file tra quelli bersaglio, cripterà il file usando l’algoritmo AES-128, rinominerà il file e vi aggiungerà l’estensione .exotic.
(vedi foto sotto)














La cartelle-target sono:
%UserProfile%\Desktop
%UserProfile%\MyMusic
%UserProfile%\Personal
%UserProfile%\MyVideos
%UserProfile%\Contacts\
%UserProfile%\Downloads\
%UserProfile%\MyPictures
/vmware-host/
%UserProfile%

Nella fase iniziale dello studio di questo ransomware, era sembrato che Exotic compisse una ricerca continua di file e cartelle da criptare, così da poter criptare ogni nuovo file inserito nelle cartelle bersaglio.  In realtà i ricercatori sono stati inizialmente tratti in inganno dal fatto che questo ransomware cripta per prima la cartella Desktop, poi la cripta una seconda volta perché cripta la cartella %UserProfile%, entro la quale è contenuto il Desktop.
In sunto non compie una scansione continuativa volta a ricercare costantemente nuovi file, ma cripta semplicemente due volte la stessa cartella. 

I file presi di mira sono:
.txt .exe .text .cur .contact .ani .xls .com .url .ppt .src .cmd .tgz .fon .pl .lib .load .CompositeFont .png .exe .mp3 .mkv .veg .mp4 .lnk .zip .rar .7z .jpg .sln .crdownload .msi .vb .vbs .vbt .config .settings .resx .vbproj .json .jpeg .scss .css .html .hta .ttc .ttf .eot .camproj .m4r .001 .002 .003 .004 .005 .006 .007 .008 .009 .au .aex .8be .8bf .8bi .abr .adf .apk .ai .asd .bin .bat .gif .3dm .3g2 .exe .3gp .aaf .accdb .aep .aepx .aet .ai .aif .arw .as .as3 .asf .asp .asx .avi .bay .bmp .cdr .cer .class .cpp .contact .cr2 .crt .crw .cs .csv .dll .db .dbf .dcr .der .dng .doc .docb .docm .docx .dot .dotm .dotx .dwg .dxf .dxg .efx .eps .erf .fla .flv .iso .idml .iff .ini .sik .indb .indd .indl .indt .ico .inx .jar .jnt .jnt .java .key .kdc .m3u .m3u8 .m4u .max .mdb .mdf .mef .mid .mov .mpa .mpeg .mpg .mrw .msg .nef .nrw .odb .odc .odm .odp .ods .odt .orf .p12 .p7b .p7c .pdb .pdf .pef .pem .pfx .php .plb .pmd .pot .potm .potx .ppam .ppj .pps .ppsm .ppsx .ppt .pptm .pptx .prel .prproj .ps .psd .pst .ptx .r3d .ra .raf .raw .rb .rtf .rw2 .rwl .sdf .sldm .sldx .sql .sr2 .srf .srw .svg .swf .tif .vcf .vob .wav .wb2 .wma .wmv .wpd .wps .x3f .xla .xlam .xlk .xll .xlm .xls .xlsb .xlsm .xlsx .xlt .xltm .xltx .xlw .xml .xqx

Inoltre, durante la ricerca delle cartelle bersaglio, Exotic cerca e termina i seguenti processi:
taskmgr
cmd
procexp
procexp64
regedit
CCleaner64
msconfig

Finito il processo di criptazione, il ransomware scarica dall’indirizzo http://mitteoderso.de/image.png una immagine di sfondo per bloccare lo schermo e la salva nella cartella %Temp%.
Durante il processo di criptazione, salva anche una copia di sè stesso nella cartella %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe: paradossalmente però, il ransomware cripta anche la propria copia, contenuta appunto in una cartella bersaglio. Al reboot quindi il ransomware non si avvierà.
A questo punto viene visualizzata sullo schermo la richiesta di riscatto e il computer verrà spento.

La richiesta del riscatto:
Questo ransomware presenta la tecnica del conto alla rovescia, che mira a rendere meno lucida la vittima: si avvisa la vittima che si hanno 72 ore di tempo per provvedere al pagamento del riscatto altrimenti i file criptati saranno per sempre cancellati, mentre ogni 5 ore trascorse verranno cancellati alcuni file.  Sono state rilasciate tre versioni: nelle prime due la richiesta appare con uno sfondo di Hitler in pose differenti,  nella terza viene tratta ispirazione dalle tecniche di ingegneria sociale del malware Jigsaw: sotto la terza versione, la più diffusa.



Nessun commento:

Posta un commento