martedì 5 aprile 2016

Ransomware alert! Rilasciato KimcilWare che cripta i siti web







AGGIORNAMENTO: disponibili aggiornamenti per le vulnerabiltà di Magento! Leggi qui

C’è un nuovo ransomware  in diffusione da qualche giorno. Si chiama KimcilWare e cripta tutti i contenuti di siti di e-commerce sviluppati tramite la piattaforma Magento.
Questo ransomware  cripta i file all’interno del webserver e crea il proprio file di indice  “index.html” nella directory radice del sito infetto.

La mail alla quale si indica di fare riferimento per il pagamento, tuyuljahat@hotmail.com, non è nuova: ricorreva già qualche tempo fa come contatto per un altro ransomware poco diffuso in Italia, Hidden Tear, che fu ritirato dalla circolazione per problemi di connettività SSL col proprio server Command&Control.

Come infetta i siti web?
Pare che il server di Magento sia stato  violato lo scorso mese e vi sia stato installato uno script che cripta i file dei siti web. E’ probabile che sfrutti vulnerabilità dei plugin o  delle estensioni di Magento, ma alcuni utenti sul forum di Magento colpiti dal ransomware affermano di avere una versione aggiornata e pulita.

Che cosa fa?
Quando il ransomware attacca i siti, usa almeno due script per criptare i dati.

Uno script cripta i file aggiungendo l’estensione .kimcilware”.
Nella Home page si mostrerà l'immagine che vedete sopra, in cui si richiedono 140 dollari di riscatto, da pagare ovviamente in bitcoin.
Qui come appare una cartella dopo la criptazione:

 

L’altro script cripta i file aggiungendo l’estensione “.locked”.
In questo caso non verrà sostituito il file “index.html”, ma verrà creato in ogni cartella un file nominato “ README_FOR_UNLOCK.txt"
con le seguenti istruzioni:

ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: 111111111111111111111111111111111
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.

Hope you enjoy ;)

In questo caso la richiesta di riscatto è ben più alta ed ammonta a 450 dollari.

Ad oggi non esistono soluzioni e Magento non ha ancora annunciato nè distribuito nessuna patch.

2 commenti:

  1. Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina
  2. Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina