martedì 20 settembre 2016

Il ransomware HDDCryptor sovrascrive il tuo MBR utilizzando strumenti Open Source.


HDDCryrpto, anche chiamato Mamba, è una nuova variante di ransomware che attacca sovrascrivendo  settore di avvio principale del computer (MBR) e blocca l’accesso agli utenti. Erroneamente potremmo classificare HDDCryptor come un clone di Petya ma, in realtà, è precedente sia a quest’ultimo che a Satana, infatti è stato individuato su alcuni forum alla fine di Gennaio 2016. 
Questo ransomware non ha mai avuto una grande campagna di distribuzione ed è questa la causa della scarsa attenzione mostrata dai ricercatori di sicurezza.


Un incremento dell’attività del ransomware è stato rilevato a fine Agosto dalle analisi di alcuni ricercatori. 

Come si diffonde?
HDDCryptor raggiunge i computer attraverso file scaricati da siti malevoli. I criminali utilizzano due modalità per inserire codice binario malevolo sui terminali: o direttamente al momento del download o in successivamente attraverso un playload intermedio. Questo codice binario iniziale rinominato utilizzando tre numeri random, nella forma di 123.exe

Come cripta i file?
Quando viene eseguito il file inizia a copiare i seguenti file in una cartella nella root del sistema operativo: 

dcapi.dll
dccon.exe (utilizzato per criptare il disk drive)
dcrypt.exe
dcrypt.sys
log_file.txt (log delle attività del malware)
Mount.exe (scansiona le unità mappate e cripta i file memorizzati su di esse)
netpass.exe (usato per la scansione di cartelle di rete alle quali si è precedentemente avuto accesso)
netuse.txt (utilizzato per immagazzinare informazioni sulle unità di rete mappate)
netpass.txt (usato per memorizzare le password degli utenti)

Due di questi file sono strumenti reperibili gratuitamente e legalmente: netpass.exe serve per recuperare le password e decrypt.exe è uno strumento di recupero password di rete. 

Per garantirsi la persistenza ad ogni avvio, HDDCryptor crea un nuovo user chiamato “mythbusters” con la password “123456” e aggiunge un servizio chiamato “DefragmentService” che 
si avvia ad ogni boot. Questo servizio richiama il file originario del ransomware (l'eseguibile con tre cifre random).

Netpass.exe viene eseguito per primo al fine di scansionare le cartelle di rete a cui si è avuto accesso precedentemente e ne estrae le credenziali. Le informazioni contenute in questi drive di rete vengono memorizzate in due file di testo in locale, uno contenente dettagli riguardo i drive mappati; l'altro con le credenziali (se presenti).

Il processo di infezione continua con dccon.exe e Mount.exe. entrambi questi files utilizzano DiskCryptor per criptare i file dell’utente. Dccon.exe cripta i file sul disco rigido e Mount.exe quelli su tutti i terminali mappati, compresi quelli momentaneamente scollegati che comunque rimangono fisicamente raggiungibili. 
Dopo che la criptazione è finita il ransomware riscrive tutta la MBR in tutte le parti del disco rigido con un boot lander personalizzato. A questo punto riavvia il computer senza l’autorizzazione dell’utente e mostra il seguente messaggio:


Differenze tra le versioni di HDDCryptor.
Sono state notate delle differenze tra la versione in circolo adesso e quella di Gennaio: sono cambiati la nota di riscatto, l’indirizzo email e il codice di identificazione utente (passato da quattro a sei caratteri). È inoltre diminuito il riscatto richiesto: a Gennaio gli autori richiedevano 700 dollari in Bitcoin, adesso ne richiedono 600, sempre in Bitcoin.
Il portafoglio dei Bitcoin collegato con la campagna di Agosto mostra che 4 vittime hanno pagato il riscatto. Una volta effettuato il pagamento, viene fornita una password con la quale è possibile accedere alla schermata di avvio tradizionale.

Molte delle ricerche hanno mostrato che il ransomware ha colpito principalmente multinazionali con sede il Brasile, India e filiali Inglesi. 

Nessun commento:

Posta un commento