lunedì 12 settembre 2016

Ransomware alert: in diffusione Philadelphia, evoluzione del ransomware Stampado


Tool di decriptazione gratuito (non garantiamo il funzionamento)
https://decrypter.emsisoft.com/philadelphia

Una nuova versione del ransomware Stampado (ne abbiamo parlato qui),  chiamato Philadelphia, è in vendita per circa 350 Euro, diffuso da uno sviluppatore di malware chiamato The RainMaker. Philadelphia è stato venduto inizialmente a un costo basso così da permettere a tutti i potenziali criminali di creare una campagna di ransomware avanzata ed eseguirla con poche risorse e competenze.
Secondo Rainmaker, Philadelphia “innova” il mercato dei ransomware con caratteristiche come il rilevamento automatico del pagamento e la decriptazione automatica, l’infezione attraverso  drive USB e la capacità di infettare altri computer attraverso la rete.
Una particolare nota deve essere fatta sul “pulsante di grazia” (Mercy Button) che permette al “compassionevole criminale” di decriptare automaticamente un particolare file della vittima in maniera gratuita.
Philadelphia è un vero e proprio prodotto, di cui RainMaker sta curando il marketing in maniera attenta (compresa la pubblicazione di un pdf che ne illustra le caratteristiche), ponendo molta attenzione sulle ampie possibilità di personalizzazione del ransomware stesso. Ecco alcuni esempi:

  • Può essere impostata la cartella dove il ransomware andrà a cercare i file, il livello di profondità/computabilità;
  • Possono essere impostate le estensioni, definiti gli intervalli per la deadline e la roulette russa impostati quanti file verranno cancellati ad ogni intervallo della roulette russa e se i file o le chiavi di decriptazione verranno eliminate quando la deadline terminerà;
  • Si può abilitare o disabilitare l’ infezione sui drive USB, la diffusione attraverso le reti e gli Unkillable Process.
         
Ma la caratteristica di cui va più fiero lo sviluppatore di Philadelphia (e quella che rende la manutenzione così economica) è che, invece che avere grossi server sotto il controllo degli sviluppatori sui quali effettuare i pagamenti, the RainMaker ha sviluppato una struttura definita “The Brigde”. Il Ponte è la via tramite la quale attaccante e vittima possono comunicare tra di loro in una rete di distribuzione. Un semplice PHP script che usa se stesso come un database per raccogliere tutti i dati relativi alle vittime, ai pagamenti ecc..

Perché una struttura “Ponte” verso la sede centrale?

Ogni criminale per impostare un’azione del Philadelphia, ha bisogno di installare un script PHP chiamato Bridges sul sito web. Il Bridge sarà connesso al ransomware e registrerà alcune informazioni riguardo alla vittima e la chiave di criptazione, ma servirà anche a verificare se sia stato effettuato o meno il pagamento del riscatto. Ogni attaccante avrà in esecuzione sul proprio PC il cosidetto “Headquarter”, la “sede centrale” che è connessa con ogni ponte aperto e scarica i dati delle vittime in una console gestionale: l’attaccante avrà così i quadro completo di chi è stato colpito, in quale paese, se offrire o meno il “Bottone di Grazia”. Sotto una immagine dell' "Headquarter":


Tutto il meccanismo ha però un punto debole: a meno che questi Bridges non vengano ospitati su reti anonime come TOR, la maggior parte di questi sarà scoperta e fatta cadere velocemente. Gli indirizzi dei Bridges sono inseriti nel codice del ransomware stesso e, una volta che il ponte è disattivato, non sarà più possibile per le vittime pagare il riscatto o decriptare i propri file.  Ma settare i Bridges tramite TOR rende l’operazione di settaggio del ransomware molto più complicata.

Come cripta i file delle vittime il ransomware Philadelphia?

Questo ransomware è probabilmente distribuito tramite campagne email di spam: nel corpo del messaggio è contenuto di solito un link che collega al livello più esterno, superiore, del Bridge. Questo contiene un programma Java che si scarica automaticamente ed esegue l’installer del ransomware.
Quando il ransomware è avviato, caricherà un file di configurazione integrato che contiene indicazioni su come è avvenuta la criptazione. Colpisce principalmente le seguenti estenzioni:

*.7z;*.asp;*.avi;*.bmp;*.cad;*.cdr;*.doc;*.docm;*.docx;*.gif;*.html;*.jpeg;*.jpg;*.mdb;*.mov;*.mp3;*.mp4;*.pdf;*.php;*.ppt;*.pptx;*.rar;*.rtf;*.sql;*.str;*.tiff;*.txt;*.wallet;*.wma;*.wmv;*.xls;*.xlsx;*.zip

Quando i file vengono criptati, subiscono la modifica sia del nome che dell’estenzione (.locked): ad esempio test.jpg potrebbe diventare 7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked. A fine processo di criptazione, si mostrerà una schermata di blocco informativa con indicate le procedure per salvare i propri file. Sulla stessa schermata, potranno essere presenti una Russian Roulette (che se è abilitata allo scadere del countdown andrà ad eliminare un determinato numero di file) e una Deadline.


Fonte: BleepingComputer.com








Le nostre fonti indicano che Stampado e versioni successive sono in realtà facilmente decrittabili gratuitamente: prima di cedere al pagamento del riscatto consigliamo (anche se ovviamente non possiamo dare certezza del corretto funzionamento e di totale recupero dei dati) la lettura del seguente Topic (Stampado Ransomware Help & Support Topic)

File associati al ransomware Philadelphia

%UserProfile%\[random]
%UserProfile%\[random]
%UserProfile%\Isass.exe

Nessun commento:

Posta un commento