E' stata individuata una nuova famiglia di ransomware, autodefinitasi Patcher, che colpisce gli utenti dei sistemi operativi Mac. Stando però a quanto dicono i ricercatori di sicurezza che hanno individuato il ransomware, il processo di criptazione di Patcher è pasticciato e non funzionante: il risultato quindi non saranno file criptati, ma file danneggiati impossibili da recuperare (se non tramite copie di backup già esistenti).
Come viene distribuito?Stando alle (poche, per ora) informazioni disponibili, il ransomware Patcher viene distribuito tramite file torrent che, in teoria, dovrebbero fornire le crack per i programmi Adobe Premiere Pro e Microsoft Office per Mac. Questo file torrent esegue il download di un archivio .ZIP sul computer della vittima: dopo aver eseguito la decompressione dell'archivio, gli utenti ottengono un file binario il cui nome termina con Patcher. Questo dettaglio è molto importante perchè è un indizio che può aiutare gli utenti a individuare nuovi altri torrent infetti.
Che cosa fa?
Patcher è, per adesso, un ransomware molto poco studiato e pasticciato. Il primo segno del fatto che gli utenti si trovano ad aver a che fare con un file inutile,o potenzialmente infetto da malware, è che quando il file viene eseguito per avviare la crack si apre una finestra senza sfondo.
Se l'utente poi chiude la finestra e lancia di nuovo il tool per la crack, la finestra non si mostrerà più.
Patcher non invia la chiave di criptazione al suo autore...
Il clic sul comando "Start" avvia il processo di criptazione. Patcher genera un numero di 25 caratteri random che viene usato come chiave di criptazione per bloccare i file. La cattiva notizia è che Patcher non invia la chiave di criptazione a nessun server online, quindi la persona/gruppo che si nasconde dietro il ransomware non avrà modo di procedere alla decriptazione dei file. Peggio ancora, la chiave di crittografia è sufficientemente lunga da rendere quasi impossibile un brute-force finalizzato all'individuazione della chiave. In generale comunque, per quanto indubbiamente questo sia il principale problema del ransomware, l'intero processo di criptazione è disseminato di errori.
Il processo di criptazione
L'attuale processo di criptazione si avvia col clic sul comando "start" e con la generazione della chiave di criptazione. Patcher prende i file dell'utente e, uno per uno, li "chiude" entro un archivio protetto da password, dove la password è la chiave di criptazione precedentemente generata. La stessa chiave viene quindi usata per tutti i file, pratica poco usata tra i cyber-criminali che solitamente preferiscono modelli di criptazione a livelli, più difficili da rompere.
Patcher cerca i file nella directory /Users, ma anche negli hard drive esterni collegati e nei dispositivi di storage di rete trovati sotto /Volumes. Il ransomware aggiunge infine l'estensione .crypt alla fine del nome di ogni file criptato.
La richiesta di riscatto
Alla fine del processo, l'utente visualizza il file README!.txt con le istruzioni (come abbiamo detto inutili, perchè i file criptati non sono più recuperabili) per il pagamento del riscatto e l'ottenimento della chiave di decriptazione.
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption method.
What do I do ?
So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT
FOLLOW THESE STEPS:
1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)
KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON'T BE ANY METHOD TO RECOVER YOUR FILES, DON'T WASTE YOUR TIME!
A questo punto il ransomware compie una operazione la cui logica non è chiara: cambia la data dell'ultima modifica di tutti i file criptati in 13 Febbraio 2010. Infine Patcher tenta di caricare
l' applicazione diskutil per cancellare in modo sicuro lo spazio libero sulla partizione di root. Ma l'operazione fallisce perchè l'autore ha scritto in maniera erronea il percorso del diskutil nel MacOS.
l' applicazione diskutil per cancellare in modo sicuro lo spazio libero sulla partizione di root. Ma l'operazione fallisce perchè l'autore ha scritto in maniera erronea il percorso del diskutil nel MacOS.
Nessun commento:
Posta un commento