Il Ransomware Locky passa all’estensione Asasin. E' in diffusione attraverso la campagna Broken Spam

È stata individuata una nuova versione del Ransomware Locky, che ora utilizza l’estensione .asasin per i file criptati. Fortunatamente, la distribuzione di questa variante del ransomware è stata interrotta a causa della difettosa campagna di spam attraverso la quale veniva distribuita …
Di seguito, ne facciamo una breve descrizione. 

È importante ricordare che se un dispositivo risulta infettato da questo ransomware, il ransomware in questione non è un fantomatico Ransomware Asasin, ma bensì il Ransomware Locky che ha modificato la sua estensione.

La variante Asasin distribuita attraverso la campagna Broken Spam
Questa nuova variante è attualmente distribuita tramite messaggi spam di posta elettronica che

presentano una riga di oggetto simile a “Document invoice_95649_sign_and_return.pdf is complete”: il mittente è  RightSignature (un servizio piuttosto diffuso per la firma online di documenti in digitale) , l'email di riferimento documents@rightsignature.com

Il problema (per gli attaccanti, una fortuna per noi) è che l'unico campo che funziona in questa email è il campo "oggetto" della stessa: chi distribuisce queste email di spam non sta, infatti, aggiungendo gli allegati in modo corretto. La conseguenza è che coloro che ricevono i messaggi, non visualizzando l'allegato ma un incomprensibile testo codificato in base64, come mostrato nell'immagine sotto.

Inoltre, anche nel caso in cui l’allegato fosse correttamente leggibile, gli allegati 7zip o .7z sarebbero comunque difficili da aprire per la maggior parte degli utenti. Questi allegati contengono un file VBS che, quando viene eseguito, scarica l’eseguibile di Locky da un sito remoto e successivamente lo esegue. 

Il downloader VBS

Il Ransomware Locky Asasin cambia (leggermente) aspetto

Non ci sono sostanziali differenze tra questa variante del ransomware e la precedente variante .ykcol. La principale differenza riguarda il fatto che quando questa variante cripta un file, ne modifica il nome aggiungendo l’estensione .asasin. Quando un file viene rinominato, esso si presenta nel seguente formato:

[primi_8_caratteri_dell'ID]-[successivi _4 car_ dell'ID]-[successivi_4 car_dell'ID]-[4_car_esadecimali]-[12_caratteri_esadecimali].asasin

Questo significa che un file denominato document.png verrebbe criptato e rinominato come E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.asasin.

La richiesta di riscatto

Quando il Ransomware ha ultimato la criptazione dei file presenti sul computer, rimuove l’eseguibile scaricato e visualizza sul computer una nota di riscatto (contenente anche le informazioni su come provvedere al pagamento). I nomi delle note di riscatto sono cambiati in quest’ultima versione e si presentano come: asasin.htm e asasin.bmp.

Fonte: bleepingcomputer.com

Al momento il sito di pagamento Locky Decryptor TOR ha un riscatto fissato a 0.25 BTC, ossia circa $1.200 dollari.

Non è possibile decriptare la variante Asasin del Ransomware Locky

Purtroppo al momento non è ancora possibile decriptare i file .asasin criptati dal ransomware. L’unico modo per ripristinare i file criptati è tramite un backup o, nei casi più fortunati, attraverso le Shadow Volume Copies: la maggior parte dei ransomware però (Locky compreso) prova a cancellare le copie di Volume e raramente il processo fallisce. 

Come difendersi?

Per proteggersi efficacemente da Locky (e da qualsiasi ransomware) è importante avere sempre a disposizione un backup affidabile e testato dei proprio dati da poter ripristinare in caso di emergenza, per esempio di fronte ad un attacco ransomware. 

Ultimo, ma non certo per importanza, è necessario assicurarsi di seguire delle corrette abitudini per quanto riguarda la sicurezza online che, il più delle volte, costituiscono il passaggio più importante.

• Non aprire gli allegati se non si conosce chi li ha inviati.
• Non aprire gli allegati finché non si hanno conferme sull’identità della persona che li ha effettivamente inviati.
• Scansionare gli allegati con strumenti come VirusTotal.
• Assicurarsi di installare tutti gli aggiornamenti di Windows non appena vengono resi disponibili. Assicurarsi inoltre di aggiornare tutti i programmi, in particolare Java, Flash ed Adobe Reader. I programmi non aggiornati presentano maggiori vulnerabilità di sicurezza, che vengono comunemente sfruttate dai distributori di malware. Per queste ragione è importante tenersi sempre aggiornati.
• Assicurarsi di aver installato un adeguato software di sicurezza, possibilmente con un modulo anti ransomware e con una protezione multilivello. 
• Utilizzare password complesse e soprattutto non utilizzare mai la stessa su più siti diversi.