Qualche giorno fa i ricercatori del MalwareHunterTeam hanno individuato una nuova, ennesima, variante della famiglia di ransomware CryptoMix: utilizza l'estensione .x1881 per modificare l'estensione dei file criptati. Quella di CryptoMix si conferma una famiglia di ransomware molto attiva, con nuove varianti rilasciate con frequenza di due/tre settimane l'uno dell'altra.
Riassumiamo alcune delle differenze tra questa nuova versione e le precedenti della famiglia. Il metodo di criptazione è rimasto sostanzialmente invariato.
1. La nota di riscatto
La nota di riscatto reca ancora il nome _HELP_INSTRUCTION.TXT, ma usa come email di contatto per le vittime
- x1881@tuta.io,
- x1883@yandex.com,
- x1881@protonmail.com,
- x1884@yandex.com.
Sotto la richiesta di riscatto:
2. L'estensione di criptazione
L'altra più evidente differenza è l'estensione con la quale il ransomware sostituisce l'estensione originale del file criptato: .x1881 appunto. Oltre a questo il ransomware rinomina anche i file, così da renderli indistinguibili. La forma è: 32 caratteri ransom.x1881.
 |
| Fonte: bleepingcomputer.com |
3. Questa variante contiene 11 chiavi di criptazione pubbliche RSA-1024 che vengono usate per criptare le chiavi AES usate, a loro volta, per criptare i file delle vittime. Questo accorgimento consente al ransomware di poer lavorare completamente offline, senza comunicazioni di rete. Le 11 chiavi pubbliche RSA sono le stesse della versione .SHARK della stessa famiglia (ne abbiamo parlato qui )
Attualmente non ha soluzione.
Indicatori di compromissione
_HELP_INSTRUCTION.TXT
C:\ProgramData\[random].exe
Comandi eseguiti
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
Nessun commento:
Posta un commento