venerdì 29 luglio 2016

Ransomware news: Locky si evolve ancora ,CrypMIC imita CryptXXX

E’ ormai impossibile (e forse poco interessante) seguire tutte le evoluzioni o le nuove diffusioni dei ransomware. Questa settimana ha presentato notevoli e numerose novità, ma ne abbiamo selezionate due:
Locky, perché è molto diffuso (anche in Italia) e tra i “ransomware di punta” per i cyber-crimnali, come ci dimostrano i continui miglioramenti.

CrypMIC, nuovo ransomware che vuole sfruttare il successo del ransomware che ha preso il posto del famigerato TeslaCrypt sul podio, ovvero CryptXXX

Nuova versione del ransomware Locky



Di Locky abbiamo abbondantemente parlato qui e qui, data anche la campagna didiffusione mirata sull’Italia di qualche settimana fa.
Dal 20 Luglio vari ricercatori di sicurezza hanno osservato nuove campagne di diffusione email del virus, che ha subito una grande evoluzione: il codice eseguibile del malware è inserito direttamente nell’allegato Javascript. Il codice JS non ha più quindi la mera funzione di downloader, ma estrae e mette in memoria il codice binario del malware sul PC della vittime senza nessuna necessità di scaricarlo da remoto.



L’eseguibile viene quindi salvato nei file temporanei di Windows con un nome del tutto casuale e lanciato automaticamente. Lavorerà in background, criptando i file e aggiungendo una estensione del tutto nuova “.zepto” (vedi foto sotto)




Inizialmente si è pensato che Zepto fosse un nuovo tipo di ransomware: in realtà il codice di Zepto differisce pochissimo da quello di Locky, ma soprattutto,  il clic sui link contenuti nella nota di riscatto reindirzza al sito Locky Decryptor.

Non c’è quindi nessun dubbio rispetto al fatto che Zepto sia una evoluzione di Locky.

CrypMIC imita CryptXXX

Quella di CrypMIC è una nuova famiglia di ransomware che sta puntando a erodere parte del “monopolio” sul mercato dei ransomware che CryptXXX si è conquistato dopo la scomparsa di TeslaCrypt.

Si diffonde tramite campagne email che cercano di indurre la vittima alla navigazione su siti web compromessi: questi siti contengono infatti l’exploit kit Neutrino (lo stesso usato da CryptXXX), che sfruttando le vulnerabilità di sistema, ottiene l’accesso al PC. Comunica con il server C&C tramite connessioni TCP sulla porta 443 (esattamente come CryptXXX).

Crea tre file con la richiesta di riscatto:
“README.TXT”, “README.HTML”, “README.BMP”.


Non aggiunge alcuna estensione ai file criptati (rendendone difficile l’individuazione)

Ma ha caratteristiche sue proprie, tra le quali:
1. Non prevede nessun meccanismo di auto avvio
2. Non prevede nessun meccanismo di blocco dello schermo
3. Può criptare le condivisioni di rete solo se già mappate

Ecco come appare la pagina di pagamento:



Allo stato attuale è comunque un malware imperfetto: il meccanismo di decifratura, fin ora, ha mostrato numerosi problemi impedendo alle vittime un completo e corretto recupero dei file.


Nessun commento:

Posta un commento