martedì 12 settembre 2017

Il Ransomware Paradise utilizza la crittografia RSA per criptare i tuoi file


Oggi una vittima di un nuovo ransomware, chiamato Paradise, ha affidato a BleepingComputer.com il racconto della sua esperienza, caricando un campione di file criptato: abbiamo così potuto procedere ad analisi tecnica degli effetti del ransomware. 

Anche se dal punto di vista tecnico non presenta grandi innovazioni, è comunque interessante studiarne il funzionamento poichè pare essere un RaaS (Ransomware as a Service) (vedi qui), ovvero un ransomware in vendita a clienti che si occupano della distribuzione e che guadagnano dai riscatti dopo aver ceduto agli sviluppatori una parte dei ricavi. 

Sfortunatamente il Ransomware Paradise non è decriptabile senza il pagamento del riscatto e gli utenti colpiti dovrebbero quindi cercare di recuperare i files seguendo vie alternative (backup o ripristino). 

Il Ransomware Paradise potrebbe essere un Ransomware as a Service (RaaS)


Il Ransomware Paradise potrebbe essere un Ransomware as a Service o RaaS (per approfondire il concetto di RaaS vedi qui). Si parla di RaaS nel momento in cui uno sviluppatore crea un ransomware, gestisce il suo sviluppo e il server di comando e controllo in cambio di una piccola parte dei riscatti pagati dalle vittime. Talvolta viene anche fornito un servizio di assistenza al cliente e la possibilità di personalizzare alcune caratteristiche e funzioni del ransomware. Il lavoro dell'affiliato, che ottiene il restante ammontare del riscatto, è invece quello di distribuire il ransomware nel modo che ritiene più opportuno.

Come si diffonde e come cripta i file? 
Al momento non è ancora noto il modo in cui Paradise infetti un computer ma, come testimoniato dal registro eventi di un computer infetto, è possibile che ciò avvenga attaccando i servizi di Remote Desktop. Una volta eseguito, tuttavia, Paradise si riavvia al fine di ottenere i privilegi amministrativi per generare la chiave RSA-1024 individuale. Questa chiave è poi usata per criptare tutti i file ed ogni drive presente sul computer.
Quando Paradise cripta un ransomware ne modifica il nome con una sequenza del tipo id-[affiliate_id]. 
[affiliate_email].paradise.

L'estensione del file viene modificata in .paradise
AD esempio, un file denominato test.jpg verrebbe criptato come test.jpgid-3VwVCmhU.[info@decrypt.ws].paradise.

Fonte: bleepingcomputer.com

Poichè Paradise si serve della crittografia RSA per criptare i file, il processo di criptazione risulta piuttosto lento. Per questa ragione la vittima potrebbe accorgersi tempestivamente del problema ed intervenire al fine di evitare che i file vengano criptati.

La richiesta di riscatto
Quando il ransomware ha finito di criptare i file, copierà una nota di riscatto denominata #DECRYPT MY FILES#.txt in tutte le cartelle nelle quali ha criptato dei file. Questa nota di riscatto contiene l'indirizzo email dell'attaccante e le istruzioni necessarie per quanto riguarda i metodi di pagamento.

Fonte: bleepingcomputer.com

Oltre a ciò, Paradise copia una immagine di sfondo (rinominata desk.bmp), codificata in base64, nella cartella %Temp%: subito dopo la userà per impostarla come sfondo del desktop del computer della vittima. 

Fonte: bleepingcomputer.com

Infine il ransomware scriverà la chiave di crittografia RSA utilizzata per criptare i file della vittima nel file %UserProfile%\DecriptionInfo.auth. 

Questo file sarà poi criptato con la master key che era stata fornita assieme all'eseguibile del ransomware: ciò consente agli sviluppatori di estrarre la chiave RSA individuale della vittima, dopo che essa ha provveduto al pagamento del riscatto.

Indicatori di compromissione
Mail associate al Ransomware Paradise
tankpolice@aolonline.top
edinstveniy_decoder@aol.com
info@decrypt.ws

File associati al Ransomware Paradise
#DECRYPT MY FILES#.txt
%UserProfile%\Desktop\DecriptionInfo.auth
%UserProfile%\AppData\Local\Temp\desk.bmp
%UserProfile%\Failed.txt
%UserProfile%\Files.txt


Nessun commento:

Posta un commento