martedì 18 luglio 2017

La famiglia Cryptomix cresce ancora: ecco EXTE Ransomware


La famiglia Cryptomix è abbastanza florida: CryptoShield, il capostipite, conta ben 3 versioni. Revenge è stato abbandonato pochi mesi dopo la messa in distribuzione, ma solo perché è stato sostituito da MOLE. MOLE ha 2 versioni ad oggi entrambi decriptabili. Per questo il o i cyber-criminali dietro questo gruppo di ransomware stanno distribuendo due nuove versioni: uno è Azer (ne abbiamo già parlato qui) l'altro è stato individuato qualche giorno fa e si chiama Exte Cryptomix. 

Cambiamenti nella variante Exte Cryptomix.
Se, tendenzialmente, il meccanismo di criptazione non ha subito grandi modifiche tra una versione e
l'altra, in questo caso troviamo alcune differenze.

Anzitutto è cambiata la nota di riscatto, che ora si chiama _HELP_INSTRUCTION.TXT. 
3 sono le email di contatto exte1@msgden.net, exte2@protonmail.com, exte3@reddithub.com 


Il cambiamento più evidente invece è la modifica dell'estensione che il ransomware applica ai file criptati. Questa versione modifica il nome dei file e vi aggiunge l'estensione .EXTE. 
Un esempio di come si presenta un file criptato? 415CD42A230DBCD0B8DBB3CE2CE2A118.EXTE


In comune con la versione precedente AZER, EXTE ha il fatto che usa le stesse 10 chiavi pubbliche RSA: EXTE seleziona una di queste chiavi AES per criptare i file della vittima. Questo consente al ransomware di lavorare offline senza comunicazioni di rete. 

File associati con questa infezione
_HELP_INSTRUCTION.TXT
%AppData%\[random].exe

Nessun commento:

Posta un commento