Tool di decriptazione gratuito (non garantiamo il funzionamento)
https://decrypter.emsisoft.com/philadelphia
Una nuova versione del ransomware Stampado (ne abbiamo parlato qui), chiamato Philadelphia, è in vendita per circa 350 Euro, diffuso da uno sviluppatore di malware chiamato The RainMaker. Philadelphia è stato venduto inizialmente a un costo basso così da permettere a tutti i potenziali criminali di creare una campagna di ransomware avanzata ed eseguirla con poche risorse e competenze.
Secondo Rainmaker, Philadelphia “innova” il mercato dei
ransomware con caratteristiche come il rilevamento automatico del pagamento e
la decriptazione automatica, l’infezione attraverso drive USB e la capacità di infettare altri
computer attraverso la rete.
Una particolare nota deve essere fatta sul “pulsante di grazia” (Mercy Button) che permette al “compassionevole criminale” di decriptare automaticamente un particolare file della vittima in maniera gratuita.
Philadelphia è un vero e proprio prodotto, di cui RainMaker sta curando il marketing in maniera attenta (compresa la pubblicazione di un pdf che ne illustra le caratteristiche), ponendo molta attenzione sulle ampie possibilità di personalizzazione del ransomware stesso. Ecco alcuni esempi:
Una particolare nota deve essere fatta sul “pulsante di grazia” (Mercy Button) che permette al “compassionevole criminale” di decriptare automaticamente un particolare file della vittima in maniera gratuita.
Philadelphia è un vero e proprio prodotto, di cui RainMaker sta curando il marketing in maniera attenta (compresa la pubblicazione di un pdf che ne illustra le caratteristiche), ponendo molta attenzione sulle ampie possibilità di personalizzazione del ransomware stesso. Ecco alcuni esempi:
- Può essere impostata la cartella dove il ransomware andrà a cercare i file, il livello di profondità/computabilità;
- Possono essere impostate le estensioni, definiti gli intervalli per la deadline e la roulette russa impostati quanti file verranno cancellati ad ogni intervallo della roulette russa e se i file o le chiavi di decriptazione verranno eliminate quando la deadline terminerà;
- Si può abilitare o disabilitare l’ infezione sui drive USB, la diffusione attraverso le reti e gli Unkillable Process.
Ma la caratteristica di cui va
più fiero lo sviluppatore di Philadelphia (e quella che rende la manutenzione
così economica) è che, invece che avere grossi server sotto il controllo degli
sviluppatori sui quali effettuare i pagamenti, the RainMaker ha sviluppato una
struttura definita “The Brigde”. Il Ponte è la via tramite la quale attaccante
e vittima possono comunicare tra di loro in una rete di distribuzione. Un
semplice PHP script che usa se stesso come un database per raccogliere tutti i
dati relativi alle vittime, ai pagamenti ecc..
Perché una struttura “Ponte” verso la sede centrale?
Perché una struttura “Ponte” verso la sede centrale?
Ogni criminale per impostare un’azione del Philadelphia, ha
bisogno di installare un script PHP chiamato Bridges sul sito web. Il Bridge
sarà connesso al ransomware e registrerà alcune informazioni riguardo alla vittima
e la chiave di criptazione, ma servirà anche a verificare se sia stato
effettuato o meno il pagamento del riscatto. Ogni attaccante avrà in esecuzione sul proprio PC il cosidetto
“Headquarter”, la “sede centrale” che è connessa con ogni ponte aperto e
scarica i dati delle vittime in una console gestionale: l’attaccante avrà così
i quadro completo di chi è stato colpito, in quale paese, se offrire o meno il “Bottone
di Grazia”. Sotto una immagine dell' "Headquarter":
Tutto il meccanismo ha però un punto debole: a meno che questi Bridges non vengano ospitati su reti anonime come TOR, la maggior parte di questi sarà scoperta e fatta cadere velocemente. Gli indirizzi dei Bridges sono inseriti nel codice del ransomware stesso e, una volta che il ponte è disattivato, non sarà più possibile per le vittime pagare il riscatto o decriptare i propri file. Ma settare i Bridges tramite TOR rende l’operazione di settaggio del ransomware molto più complicata.
Come cripta i file delle vittime il ransomware Philadelphia?
Questo ransomware è probabilmente distribuito tramite campagne email di spam: nel corpo del messaggio è contenuto di solito un link che collega al livello più esterno, superiore, del Bridge. Questo contiene un programma Java che si scarica automaticamente ed esegue l’installer del ransomware.
Quando il ransomware è avviato, caricherà un file di configurazione integrato che contiene indicazioni su come è avvenuta la criptazione. Colpisce principalmente le seguenti estenzioni:
*.7z;*.asp;*.avi;*.bmp;*.cad;*.cdr;*.doc;*.docm;*.docx;*.gif;*.html;*.jpeg;*.jpg;*.mdb;*.mov;*.mp3;*.mp4;*.pdf;*.php;*.ppt;*.pptx;*.rar;*.rtf;*.sql;*.str;*.tiff;*.txt;*.wallet;*.wma;*.wmv;*.xls;*.xlsx;*.zip
Quando i file vengono criptati, subiscono la modifica sia del nome che dell’estenzione (.locked): ad esempio test.jpg potrebbe diventare 7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked. A fine processo di criptazione, si mostrerà una schermata di blocco informativa con indicate le procedure per salvare i propri file. Sulla stessa schermata, potranno essere presenti una Russian Roulette (che se è abilitata allo scadere del countdown andrà ad eliminare un determinato numero di file) e una Deadline.
 |
| Fonte: BleepingComputer.com |
Le nostre fonti indicano che Stampado e versioni successive sono in realtà facilmente decrittabili gratuitamente: prima di cedere al pagamento del riscatto consigliamo (anche se ovviamente non possiamo dare certezza del corretto funzionamento e di totale recupero dei dati) la lettura del seguente Topic (Stampado Ransomware Help & Support Topic)
File associati al ransomware Philadelphia
%UserProfile%\[random]
%UserProfile%\[random]%UserProfile%\Isass.exe
Nessun commento:
Posta un commento