Ransomware alert! Campagna di diffusione di Zcrypt

E’ stato individuato negli ultimi giorni di Maggio, un nuovo ransomware chiamato Zcrypt, in diffusione anche  in Europa.

Come si diffonde?
Si diffonde tramite:

• campagne di spam
• macro
• falsi installer di Flash Player
• tramite dispositivi mobili

Ha una peculiarità: si comporta come un worm, quindi è capace di replicarsi senza la necessità di legarsi ad un eseguibile.  Una volta installato sulla macchina, crea il file “autorun.inf” in tutti i dischi removibili, trasformando questi dispositivi in ulteriori vettori d’infezione. 
 
Che cosa fa?
Cripta i file, rendendoli illeggibili e modificandone l’estensione in .zcrypt.
Quando eseguito, il malware crea un pop up, forse allo scopo di confondere l’utente, mentre avvia la comunicazione col server Command&Control  per il check-in dei bot infetti  e per inviare la chiave di decriptazione dal server alla macchina infetta.

Aggiunge anche la seguente voce nel Registro di Sistema, modifica che lo fa lanciare automaticamente ad ogni avvio di Windows.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\zcrypt

Infine, crea una copia di se stesso in:

• {Unità disco:}\system.exe
• C:\Utenti\%nome_utente%\AppData\zcrypt.exe

Che tipi di file cripta?

.accdb, .dwg, .odb, .raf, .apk, .dxg, .odp, .raw, .arw, .emlx, .ods, .rtf, .aspx, .eps, .odt, .rw2, .avi, .erf, .orf, .rwl, .bak, .gz, .p12, .sav, .bay, .html, .p7b, .sql, .bmp, .indd, .p7c, .srf, .cdr, .jar, .pdb, .srw, .cer, .java, .pdd, .swf, .cgi, .jpeg, .pdf, .tar, .class, .jpg, .pef, .tar, .cpp, .jsp, .pem, .txt, .cr2, .kdc, .pfx, .vcf, .crt, .log, .php, .wb2, .crw, .mdb, .png, .wmv, .dbf, .mdf, .ppt, .wpd, .dcr, .mef, .pptx, .xls, .der, .mp4, .psd, .xlsx, .dng, .mpeg, .pst, .xml, .doc, .msg, .ptx, .zip, .docx, .nrw, .r3d, .3fr


Il Riscatto:


Una volta completato il processo di criptazione dei file, Zcrypt fa visualizzare la seguente schermata (How to Decrypt Your Files.html), nella quale si danno le istruzioni per effettuare il pagamento. Di solito si richiedono 1.2 bitcoin e si dà un lasso di tempo massimo di 4 giorni, superato il quale il riscatto aumenta a 5 bitcoin. Superata la settimana si minaccia la distruzione della chiave unica.


Una notizia positiva:
la maggior parte degli antivirus è capace di individuare questo ransomware.
Qui è possibile vederne un report delle rilevazioni da parte dei maggiori antivirus


Mutex: zcrypt1.0
Registry key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\zcrypt
Dropped file: C:\Users[UserName]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zcrypt.lnk
Dropped file: C:\Users[UserName]\AppData\Roaming\zcrypt.exe
Dropped file: C:\Users[UserName]\AppData\Roaming\btc.addr
Dropped file: C:\Users[UserName]\AppData\Roaming\public.key
Dropped file: How to decrypt files.html
Encrypted file extention: .zcrypt