Michael Gillespie ha annunciato la diffusione di una nuova variante del ransomware Dharma, segnalata dal ricercatore Jakub Kroustek. Questa nuova variante, palesemente appartenente alla famiglia di ransomware Dharma, cripta i file e ne modifica l'estensione in .Bip. Non è chiaro come venga distribuita questa versione, ma la famiglia Dharma si è distinta per la diffusione tramite attacco ai servizi di Desktop Remoto per poter procedere all'installazione manuale del ransomware.
Come cripta i file
Una volta che questa variante viene installata, esegue subito la scansione del computer in cerca di data file e li cripta. I file criptati subiscono la modifica del nome e dell'estensione secondo lo schema:
- .id-[id].[email].bip
Ad esempio il file test.jpg diventa test.jpg.id-BCBEF350.[Beamsell@qq.com].bip. Sotto un esempio di file criptati da Bip Dharma.
 |
| Fonte: bleepingcomputer.com |
E' da rimarcare il fatto che questo ransomware ha la capacità di criptare anche i drive di rete mappati, le condivisioni di rete non mappate, le macchine virtuali condivise ecc... E' quindi fondamentale verificare che le condivisioni di rete siano chiuse di modo che soltanto coloro che ne hanno realmente bisogno ne detengano le permissioni.
Terminata la criptazione, BIP Dharma cancellerà le copie shadow di volume dalla macchina: impedisce così all'utente di poterle usare per recuperare i file in forma non criptata. Li cancella eseguendo il comando vssadmin delete shadows /all /quiet.
La nota di riscatto
Questo ransomware crea inoltre due differenti note di riscatto sul computer infetto: una si chiama Info.hta e viene lanciata in autorun quando l'utente esegue il login nel computer.
L'altra è chiamata FILES ENCRYPTED.txt e viene salvata sul Desktop.
Entrambe le note contengono le istruzioni per contattare l'attaccante, tramite la mail Beamsell@qq.com al fine di ottenere le istruzioni per il pagamento.
Eseguite queste operazioni, infine, il ransomware configura se stesso in maniera tale da avviarsi automaticamente quando viene eseguito il login a Windows. Questo consente la criptazione di ogni nuovo file che viene creato dall'ultima esecuzione.
Nessuna soluzione disponibile
Attualmente non è possibile decriptare gratuitamente i file criptati da Bip Dharma. L'unica maniera per recuperare i file è deternerli in chiaro in un backup, per poterli quindi ripristinare dopo aver attentamente ripulito il sistema (se il ransomware è persistente sul sistema, infatti, cripterà ogni nuovo file). Oppure, ma bisogna essere molto fortunati, bisogna sperare che il rasnomware non riesca a cancellare le copie shadow: in questo, raro, caso sarà possibile usare le copie shadow di volume per ripristinare i file alla condizione originaria.
Indicatori di compromissione:
Email di contatto:
Beamsell@qq.com
File Associati:
%UserProfile%\AppData\Roaming\Info.hta
%UserProfile%\AppData\Roaming\[filename.exe]
FILES ENCRYPTED.txt
Hash:
SHA256: 208989df29236594c9d889d54b666041bc7df1d0b53cedd16e4f68636e036bb7
Nessun commento:
Posta un commento