Un nuovo ransomware, chiamato CryLocker,è stato individuato dai ricercatori del MalwareHunterTeam. I distributori del ransomware si spacciano per una fantomatica organizzazione Central Security Treatment Organizations.
Quando il ransomware Central Security Treatment Organization, o Cry, infetta il computer cripta i file delle vittime e ne trasforma l’estensione in .cry.
Dopo chiede circa 1.1 bitcoins (circa 550 Euro) per decriptarli. Questa infezione ha alcune caratteristiche che solitamente non si trovano nei classici ransomware.
Per esempio , come Cerber, questo ransomware invia le informazioni delle vittime a un server C&C usando l’UDP (User datagram Protocol).
Utilizza anche siti pubblici come Imgur.com e Pastee.org per archiviare le informazioni delle vittime. Infine può chiedere a Google Maps API di geolocalizzare le vittime utilizzando l’SSID delle connessioni wireless nei dintorni, probabilmente al mero fine di aumentare la pressione psicologica sulla vittima.
Come si diffonde?
Da ultime analisi risulta che Crylocker si diffonda tramite l’exploit kit Sundown.
Metodo di comunicazione col Server Command & Control.
Quando una vittima è stata infettata, il ransomware ottiene alcune informazioni come la versione di Windows, il Service Pack installato, la versione in bit di Windows, l’username, il nome del computer e il tipo di CPU installata nel terminale. Queste informazioni sono poi inviate via UDP a 4095 diversi indirizzi IP, uno dei quali è il server C&C: il meccanismo è evidentemente pensato per cercare di nascondere la posizione del server C&C.
Il ransomware CryLocker può inoltre caricare queste informazioni come un elenco di file criptati su Imgur.com: una volta caricati i file, Imgur assegnerà un nome unico ad ogni file. Questo nome sarà poi indirizzato via UDP ai 4095 indirizzi IP, al fine di notificare al server C&C che una nuova vittima è stata colpita.
Come CryLocker cifra i file?
Quando CryLocker infetta un computer fa un backup di alcuni short cut (scorciatoie, tasti di scelta rapida) di Windows e li salva in una cartella sul desktop chiamandola old_shortcuts. Lo scopo di questa cartella non è ancora conosciuto.
Il ransomware cripta quindi i file della vittima e ne modifica l’estensione in .cry.
Cerca e cripta una grandissima varietà di file (più di un centinaio) tra i quali: .doc, .docx, .html, .java, .jpeg, .jpg, .png, .xls, e molti altri.
Durante questo processo, il ransomware cancella anche le copie Shadow dei file eseguendo il comando “vssadmin delete shadow/ all /quiet", rendendo così impossibile il ripristino dei file (a meno che non si sia eseguito un backup in cloud o su altro tipo di supporto esterno).
Inoltre, per rendersi persistente sul computer, il virus crea un file eseguibile che viene inserito nell’elenco dei programmi in avvio al momento del login su Windows: a ogni accensione del computer quindi il virus si esegue.
In ultimo cambierà lo sfondo del desktop, sostituito da una immagine con testo contenente le informazioni necessarie per la richiesta di riscatto.
Crea anche due diverse note di riscatto
!Recovery_[random_chars].html e !Recovery_[random_chars].txt sul desktop della vittima.
Entrambe contengono l’ID della vittima e le istruzioni per accedere al pagamento tramite TOR
Il sito TOR per il pagamento di CryLocker
La nota di riscatto creata da CryLoker contiene un link al sito di pagamento su TOR. Il sito chiede all’utente di effettuare il login con il codice personale (ID) contenuto nella nota di riscatto.
Sono presenti varie sezioni sul sito (la prima mostra il totale del riscatto da pagare ), una delle quali dà la possibilità alla vittima di comunicazione con gli sviluppatori del malware.
Il sito di pagamento include anche una prova di decriptazione gratis di un file, ma, da prove effettuate da ricercatori di sicurezza, il meccanismo è risultato non funzionante e il file non è stato rimesso in chiaro.
Nessun commento:
Posta un commento