E' stato individuato un nuovo Ransomware: si chiama Mole e sembra proprio essere una variante della famiglia di ransomware CryptoMix, ma presenta anche similarità forti col ransomware CryptoShield.
Come si diffonde?
Mole viene distribuito attualmente attraverso campagne di email di SPAM, che si camuffano da notifiche di vario tipo, sopratutto fatture e documenti di trasporto. La versione più diffusa della email contiene un falso documento di mancata consegna di un pacco e reca un link al quale sarebbero rintracciabili ulteriori informazioni per il recupero del pacco.
Mole viene distribuito attualmente attraverso campagne di email di SPAM, che si camuffano da notifiche di vario tipo, sopratutto fatture e documenti di trasporto. La versione più diffusa della email contiene un falso documento di mancata consegna di un pacco e reca un link al quale sarebbero rintracciabili ulteriori informazioni per il recupero del pacco.
 |
| Fonte: Bleeping Computer |
Quando un utente fa click sul link, verrà reindirizzato ad un falso documento di Microsoft Word Online: viene subito però mostrato un avviso che indica che occorre eseguire l'aggiornamento di un plugin affinchè il documento sia visibile.
 |
| Fonte: Bleeping Computer |
Il click sul pulsante di download scaricherà il file plugin-office.exe o pluginoffice.exe. Se questo file viene eseguito, il ransomware Mole si installerà sul computer della vittima.
Come cripta i file?
Una volta che il ransomware è stato eseguito sul computer della vittima, mostra un falso alert (vedi sotto), pensato solo per convincere la vittima a fare click su OK sul prompt: una volta fatto click su OK, il ransomware ottiene i privilegi di amministrazione.
 |
| Fonte: Bleeping Computer |
Dopo il click su OK si mostra un prompt User Account Control, come quello in foto, che chiede il permesso di eseguire il comando "C:\Windows\SysWOW64\wbem\WMIC.exe" process call create "%UserProfile%\pluginoffice.exe"
Il click su YES lancerà di nuovo il ransomware coi privilegi di amministrazione e genererà un ID esadecimale unico per la vittima. Questo ID viene inviato immediatamente al server Command&Control, che risponderà con la chiave di criptazione pubblica RSA-1024. Questa chiave verrà usata per criptare la chiave di criptazione AES usata per criptare i file. Questa chiave RSA verrà salvata nel file
%UserProfile%\AppData\Roaming\26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE.
Fatto questo Mole terminerà una lunga serie di servizi di Windows, molti dei quali di sicurezza, infine cancellerà le copie shadow dei file e disabiliterà Windows Startup Recovery.Infine il ransomware eseguirà una scansione del computer in cerca di file target da criptare: li cripterà usando la criptazione AES-256, rinominerà tutti i file e vi aggiungerà l'estensione .MOLE. Il formato della ridenominazione dei file è [32 caratteri esadecimali].MOLE.
 |
| Fonte: Bleeping Computer |
La richiesta di riscatto..
In tutte le cartelle contenenti file criptati, il ransomware creerà la richiesta di riscatto: a differenza di molti ransomware, la richiesta di riscatto non sarà in formato HTML, ma in TXT: INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT
In tutte le cartelle contenenti file criptati, il ransomware creerà la richiesta di riscatto: a differenza di molti ransomware, la richiesta di riscatto non sarà in formato HTML, ma in TXT: INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT
Email di contatto del ransomware MOLE
oceanm@engineer.com
oceanm@india.com
Attualmente non c'è soluzione.
Nessun commento:
Posta un commento