lunedì 28 agosto 2017

Il ransomware SyncCrypt si nasconde dentro una immagine JPG


E' stato individuato, giusto qualche giorno fa, un nuovo ransomware che si diffonde in maniera un pò insolita rispetto ai tradizionali metodi di diffusione. Il ransomware in questione si chiama SyncCrypt, si diffonde tramite email di spam e modifica l'estensione dei file in .kk

Come si diffonde
Si diffonde tramite email di spam che contengono, come allegato, un file .WSF. Questo metodo di diffusione è piuttosto comune, ma c'è una particolarità che contraddistingue il download e l'installazione del ransomware, la quale rende interessante lo studio di questo malware. Lo script WSF infatti scarica alcune immagini che hanno integrati dei file .ZIP: questi a loro volta contengono i file necessari a infettare il computer. Questo metodo ha il grande vantaggio per i cyber-criminali di rendere praticamente invisibile l'eseguibile del ransomware alla maggior parte dei controlli da parte dei software antivirus. 

L'immagine e i file zip collegati
Non è ancora stata individuata precisamente l'email (o le email) con la quale viene diffuso questo ransomware, ma sappiamo che l'allegato WSF si spaccia per un'ordinanza di tribunale: il nome del file in questione è CourtOrder_845493809.wsf. Quando il file WSF viene eseguito, lo script JS che si attiva esegue il download di una immagine da uno dei tre siti sotto indicati. 

Fonte: bleepingcomputer.com

Se un utente apre direttamente l'URL dell'immagine, vedrà solamente l'immagine sotto


Integrato in questa immagine, c'è il file .ZIP contenente i file sync.exe (l'eseguibile del ransomware), readme.html (la versione html della richiesta di riscatto) e readme.png (la versione in formato immagine della richiesta di riscatto). Questi file sono i componenti essenziali del ransomware SyncCrypt.  Una simile tecnica rende impossibile, per la maggior parte degli antivirus dei maggiori vendor, individuare questo file immagine come dannoso. E' bene specificare che l'immagine di per sé non è assolutamente dannosa: è solo un vettore sicuro per distribuire il malware evadendo i controlli degli antivirus. Il tasso di individuazione è in questi giorni lentamente aumentato grazie all'aggiornamento della firma di questo virus, dopo la denuncia dell'individuazione di questo nuovo ransomware da parte di Emsisoft (vedi qui la schermata relativa di VirusTotal). 

Come infetta il computer
Una volta che l'immagine viene scaricata nella cartella  %Temp%, dal file .ZIP vengono estratti i 3 file sopra elencati, precisamente nella cartella  %Temp%\BackupClient.

Una volta che il file sync.exe viene eseguito, il ransomware per prima cosa esegue una scansione del computer cercando alcuni specifici tipi di file e li cripta usando l'algoritmo di criptazione AES. La chiave AES usata per criptare i file viene a sua volta criptata con una chiave di criptazione pubblica RSA-4096 integrata e salvata nella cartella %Desktop%\README\key. 

Quando un file viene criptato, il nome file non viene modificato, ma ne viene modificata l'estensione in .kk. Sotto è possibile vederne un esempio.


Il ransomware, mentre cripta i file, salta a piè pari tutti i file contenuti nelle cartelle 
  • windows\
  • program files (x86)\
  • program files\
  • programdata\
  • winnt\
  • \system volume information\
  • \desktop\readme\
  • \$recycle.bin\.
Finita la criptazione, sul Desktop appare la cartella README, che contiene il file AMMOUNT.txt, la chiave e i file di riscatto readme.html e readme.png. Il file txt contiene l'ammontare del riscatto, la chiave è la chiave di decriptazione criptata e gli altri due file sono appunto le note di riscatto. 

La richiesta di riscatto
La nota di riscatto contiene le informazioni per il pagamento, ad oggi circa 400-450 dollari americani. Dopo che un pagamento viene effettuato verso il conto bitcoin indicato, alla vittima viene indicato di inviare una email contenente il file chiave ad uno dei seguenti indirizzi getmyfiles@keemail.me, getmyfiles@scryptmail.com o getmyfiles@mail2tor.com per ottenere il decrypter. 


Attualmente non esiste la possibilità di decriptare i file. 

Nessun commento:

Posta un commento