venerdì 17 giugno 2016

Ransomware Alert! RAA: la nuova insidia in Javascript


Nuovo arrivo nella famiglia dei ransomware: RAA è programmato interamente in JavaScript. 
Già in passato avevamo avuto un caso simile, con la diffusione di Ransom32, malware creato integralmente in NodeJS, piattaforma  per il motore Javascript V8, tuttavia RAA è diverso, perché non è distribuito tramite un eseguibile, ma è piuttosto un comune file JS.
Da impostazioni standard, l’implementazione di JavaScript non include nessuna funzione di crittografia avanzata. Per aggirare questo problema, i programmatori del ransomware hanno utilizzato CryptoJS, libreria pubblica di Google Code Project.

Come viene diffuso?
RAA viene diffuso principalmente tramite email di spam contenenti allegati: questi allegati altro non sono che file Javascript camuffati da documenti Word che hanno nomi come “mgJaXnwanxlS_doc_.js.”  Una volta fatto doppio clic sul file JavaScript, RAA genera un falso documento di Microsoft Word nella cartella Documenti denominato“doc_attached_CnIj4” o simile. Una volta aperto, il falso documento mostrerà un messaggio d’errore: mentre l’utente penserà che il documento sia semplicemente un file non integro, il ransomware si avvierà in background (l’utente non se ne accorgerà neppure) e comincerà la criptazione dei file.

Che cosa fa?
Una volta lanciato il malware inizia subito la sua scansione in background per rilevare tutte le unità disponibili e  i dischi connessi alla macchina sui quali l’utente ha accesso, avviando la sua funzione di cifratura e  aggiungendo ai file l’estensione “.locked” .
Ad esempio il file "bolletta.pdf" diventerà "bolletta.pdf.locked"

Questo ransomware colpisce principalmente i seguenti tipi di file:
.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv


Dalla criptazione verranno esclusi quei file che contengono stringhe quali “.locked “~” e “$” e tutti quelli contenuti nelle cartelle:
Programmi, Windows, Recycle.Bin, Recycler, AppData, Temp, ProgamData, Microsoft.

Inoltre RAA compirà altre due azioni:
1.si imposterà in autorun, così da eseguirsi ad ogni avvio di Windows e da criptare anche eventuali nuovi file creati/importati nella macchina
2. Cancellerà anche le copie shadow impedendo così la possibilità di eseguire un backup.

Il trojan Pony
Se tutto ciò non fosse abbastanza,a peggiorare le cose interviene un ulteriore stringa che installa il trojan Pony, programmato per il furto di password e credenziali.
Anche questo trojan si imposterà in autorun.

Il messaggio di riscatto
Compiute queste operazioni, il ransomware genererà la classica richiesta di riscatto contenente l’ ID univoco assegnato alla vittima, generalmente di 0,39bitcoin (circa di 255 euro)e formulata in russo,   

 

   

















E  qui tradotta in inglese



Il Malware Hunter Team comunica che al momento non esiste alcun modo per decriptare  i file presi in ostaggio da questo malware, e che ulteriori ricerche sul codice sorgente sono ancora in corso. 


Nessun commento:

Posta un commento