E’ stato individuato negli ultimi giorni di Maggio, un nuovo ransomware chiamato Zcrypt, in diffusione anche in Europa.
Come si diffonde?
Si diffonde tramite:
- campagne di spam
- macro
- falsi installer di Flash Player
- tramite dispositivi mobili
Che cosa fa?
Cripta i file, rendendoli illeggibili e modificandone l’estensione in .zcrypt.
Quando eseguito, il malware crea un pop up, forse allo scopo di confondere l’utente, mentre avvia la comunicazione col server Command&Control per il check-in dei bot infetti e per inviare la chiave di decriptazione dal server alla macchina infetta.
Aggiunge anche la seguente voce nel Registro di Sistema, modifica che lo fa lanciare automaticamente ad ogni avvio di Windows.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\zcrypt
Infine, crea una copia di se stesso in:- {Unità disco:}\system.exe
- C:\Utenti\%nome_utente%\AppData\zcrypt.exe
Che tipi di file cripta?
.accdb, .dwg, .odb, .raf, .apk,
.dxg, .odp, .raw, .arw, .emlx, .ods, .rtf, .aspx, .eps, .odt, .rw2, .avi, .erf,
.orf, .rwl, .bak, .gz, .p12, .sav, .bay, .html, .p7b, .sql, .bmp, .indd, .p7c,
.srf, .cdr, .jar, .pdb, .srw, .cer, .java, .pdd, .swf, .cgi, .jpeg, .pdf, .tar,
.class, .jpg, .pef, .tar, .cpp, .jsp, .pem, .txt, .cr2, .kdc, .pfx, .vcf, .crt,
.log, .php, .wb2, .crw, .mdb, .png, .wmv, .dbf, .mdf, .ppt, .wpd, .dcr, .mef,
.pptx, .xls, .der, .mp4, .psd, .xlsx, .dng, .mpeg, .pst, .xml, .doc, .msg,
.ptx, .zip, .docx, .nrw, .r3d, .3fr
Il Riscatto:
Una volta completato il processo di criptazione dei file, Zcrypt fa visualizzare la seguente schermata (How to Decrypt Your Files.html), nella quale si danno le istruzioni per effettuare il pagamento. Di solito si richiedono 1.2 bitcoin e si dà un lasso di tempo massimo di 4 giorni, superato il quale il riscatto aumenta a 5 bitcoin. Superata la settimana si minaccia la distruzione della chiave unica.
Una notizia positiva:
la maggior parte degli antivirus è capace di individuare questo ransomware.
Qui è possibile vederne un report delle rilevazioni da parte dei maggiori antivirus
Mutex: zcrypt1.0Registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\zcrypt
Dropped file: C:\Users[UserName]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zcrypt.lnk
Dropped file: C:\Users[UserName]\AppData\Roaming\zcrypt.exe
Dropped file: C:\Users[UserName]\AppData\Roaming\btc.addr
Dropped file: C:\Users[UserName]\AppData\Roaming\public.key
Dropped file: How to decrypt files.html
Encrypted file extention: .zcrypt
Nessun commento:
Posta un commento