Ransomware Alert! AlphaRansomware e CryptXXX

La settimana passata ha visto un periodo di relativa tranquillità per quanto concerne la nascita e gli attacchi di nuovi Ransomware; tranquillità soltanto relativa, perché negli ultimi giorni organizzazioni come il Malware Hunter Team, hanno avuto il loro da fare per
individuare e combattere i nuovi arrivati nella grande famiglia dei Ransomware.
Tra i tanti nuovi, ne trattiamo intanto 2 che riteniamo più pericolosi.

1. Alpha Ransomware

2. CryptXXX 3.0


Visto che ormai è diventato impossibile orientarsi per la quantità di ransomware in diffusione, ricordiamo questo utile documento, in cui sono raccolti tutte le tipologie di ransomware finora riscontrate e alcune informazioni a riguardo (analisi ed eventuali soluzioni)
--------------

1. Alpha (Alfa) Ransomware

Non sappiamo come il ransomware Alpha (conosciuto anche come Alfa, visto che nella nota di riscatto si presenta talora con la F talora con PH) venga distribuito. Sappiamo però che, una volta dentro la macchina, il ransomware compirà una scansione di tutti i file presenti in locale.

Cripterà solo i file dei tipi indicati sotto, modificandone l'estensione in .bin.
Ad esempio il file "immagine.jpg" diverrà "immagine.jpg.bin"

Questo ransomware cripta solo i file con queste estensioni:

.c, .h, .m, .ai, .cs, .db, .nd, .pl, .ps, .py, .rm, .3dm, .3ds, .3fr, .3g2, .3gp, .ach, .arw, .asf, .asx, .avi, .bak, .bay, .cdr, .cer, .cpp, .cr2, .crt, .crw, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .erf, .fla, .flvv, .hpp, .iif, .jpe, .jpg, .kdc, .key, .lua, .m4v, .max, .mdb, .mdf, .mef, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .nef, .nk2, .nrw, .oab, .obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .pas, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pps, .ppt, .prf, .psd, .pst, .ptx, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sql, .sr2, .srf, .srt, .srw, .svg, .swf, .tex, .tga, .thm, .tlg, .txt, .vob, .wav, .wb2, .wmv, .wpd, .wps, .no, .xlk, .xlr, .xls, .yuv, .back, .docm, .docx, .flac, .indd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .xlsx

Lascia, nella cartella Documenti e sul Desktop,  2 note di riscatto:
1."README HOW TO DECRYPT YOUR FILES.HTML"
2."README HOW TO DECRYPT YOUR FILES.txt"

Nelle note è indicato il solito indirizzo TOR di pagamento e l'ID (identificativo) unico della vittima, necessario per effettuare il pagamento e ricevere il tool di decriptazione dal cyber-criminale. 

File associati al ransomware Alpha (utili a individuarlo)
%UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe
README HOW TO DECRYPT YOUR FILES.HTML
README HOW TO DECRYPT YOUR FILES.TXT

2. CryptXXX 3.0

Avevamo poi visto, sul finire del mese di Giugno, come l’ormai celebre CryptXXX fosse stato aggiornato ad una versione 3.0 allo scopo di invalidare gli strumenti fin ad allora adoperati per decriptarlo. Brad Duncan e i ricercatori Proofpoint ci informano che da venerdì è stata lanciata una nuova versione ancora più temibile. 

La nuova versione presenta differenze grafiche, nel testo della nota di riscatto, nell'indirizzo TOR di pagamento e nel riscatto (che ammonta a 1,5 bitcoin, circa 1700 euro).

Tra le sue nuove caratteristiche, la più insidiosa è la sparizione dell’estensione “.crypz”. Il nuovo aggiornamento infatti permette a questo Ransomware di non lasciare tracce e non aggiungere alcuna estensione.

Per quanto riguarda il decriptatore, la novità  è che quesra versione non prevede nessun sistema, per la vittima, di poter contattare i cyber-criminali in caso di problemi di pagamento o durante la decriptazione.

Nessuno dei due ransomware ha attualmente una soluzione. Alcuni siti internet riportano la notizia di un tool che sarebbe parzialmente in grado di risolvere la criptazione da CryptXXX versione 3.0, ma non c'è certezza di efficacia.