Ecco un doppio aggiornamento su due nostre vecchie conoscenze: i ransomware
Petya e cryptXXX. Di entrambi, negli ultimi giorni, sono state rilasciate versioni ulteriormente aggiornate, volte a rendere più solide le cifrature e a ridurre quindi le possibilità di rimettere in chiaro i file senza pagare il riscatto.
1. Petya rafforza l'algoritmo di cifratura
E’ stata rilasciata una nuova versione del ransomware Petya, nella quale sono state risolti alcuni bug che comportavano debolezze nell’algoritmo di cifratura.
Con questa nuova versione, gli sviluppatori del ransomware hanno implementato l’algoritmo di crifratura Salsa20, risolvendo appunto debolezze sfruttabili in un tentativo di decriptazione senza pagare il riscatto: questo upgrade rende molto più difficile riuscire a progettare un tool di decriptazione per rimettere in chiaro i file.
L’algoritmo Salsa20 è usato in molti ransomware per cifrare il disco e per verificare che venga inserita una corretta chiave di riscatto.
Allo stato attuale, sappiamo che Petya si diffonde ancora tramite falsi PDF, ma non è sicuro come viene distribuito o quali nomi utilizzi per i file. Come la versione precedente comunque, una volta installato, Petya cerca di ottenere i privilegi di amministrazione al fine di installare il criptatore e, se fallisce, avvia al suo posto il ransomware Mischa.
Attualmente sappiamo che Petya è molto diffuso in Germania, sopratutto
tramite email indirizzate al ramo risorse umane di varie compagnie di medie e
grandi dimensioni.
2. CryptXXX prova a mandare in confusione le vittime
E’ stata rilasciata una nuova versione del ransomware CryptXXX che non modifica solo l’estensione dei file criptati, ma cambia l’intero nome dei file. Una volta installato, CryptXXX cioè cambia l’intero nome dei file con un filename e una estensione apparentemente del tutto casuale.
In ogni caso questa pratica di modificare l’intero nome del file non è assolutamente nuova ed ha due illustri maestri: i ransomware CryptoWall e Locky.
Nessun commento:
Posta un commento