Pochi giorni dopo il rilascio del decrypt per Mole02, è stata individuato un nuovo membro della famiglia CryptoMix, la variante Azer.
Tendenzialmente le differenze nel meccanismo di criptazione sono praticamente nulle, ma ci sono alcune modifiche in questa versione che elenchiamo sotto.
Le differenze della variante Azer
1. La nota di riscatto
La nota di riscatto ha cambiato nome
_INTERESTING_INFORMACION_FOR_DECRYPT.TXT. e sono stati cambiati anche gli indirizzi di contatto webmafia@asia.com o donald@trampo.info
2. L'estensione dei file
Con questa versione, quando un file viene criptato dal ransomware, viene modificato sia il nome del file sia l'estensione del file, secondo la sequenza
-email-[email_address].AZER.
Sotto è possibile vedere alcuni esempi
3. Azer è un ransowmare "offline"
Questa variante non tenta comunicazioni di rete ed è completamente offline. Integra inoltre ben 10 diverse chiavi di criptazione pubbliche RSA-1024. Una di queste chiavi viene scelta per criptare la chiave AES usata per criptare i file della vittima. Mole02 ad esempio integrava una sola chiave pubblica RSA-1024.
4.File che identificano questa infezione
_INTERESTING_INFORMACION_FOR_DECRYPT.TXT
%AppData%\[random].exe
Nessun commento:
Posta un commento