Trattiamo brevemente Mobef, un ransomware in circolazione già da tempo, ma del quale si è assistito ad un certo aumento del numero di attacchi: è la famiglia di ransomware di cui fa parte il ransomware LOKMANN.KEY993 (o Parisher), di cui abbiamo già trattato perchè ha colpito svariati utenti italiani.
Come si diffonde...
Mobef viene diffuso sopratutto tramite email di spam, contenenti a loro volta allegati dannosi o link a siti web compromessi.La maggior parte delle email erano finte email di mancata consegna di corrieri come DHL o FedEx nella quali l'allegato conterrebbe le informazioni necessarie al recupero del pacco.
Come cripta i file...
Questo ransomware colpisce principalmente computer con sistemi operativi Windows 7,8 e 10, con algortimo di criptazione AES-265 e RSA.
Quando il ransomware viene installato sul computer, crea come prima cosa un eseguibile con nome random nella cartella %AppData% o %LocalAppData%. L'eseguibile viene lanciato e avvia una scansione di tutti i drive sul pc in cerca di specifiche estensioni di file da criptare (sopratutto doc, docx, xls, xlsx, pdf ecc..) Una volta che individua questi file li cripta e ne modifica l'estensione in
.KEYH0LES o .KEYZ.
Infine cancella tutte le copie shadow dei file, rendendo così impossibile il recupero da punto di ripristino.
Quali file cripta...
.sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx,
.kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw,
.3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt
La richiesta di riscatto...
Una volta criptati i file, Mobef crea il file (data)-INFECTION.txt (ad esempio 29-11-2016-INFECTION.txt) in tutte le cartelle con file criptati e sul Desktop.
Inoltre modifica lo sfondo del Desktop con il file (data)-INFECTION.png. Questi file sono copiati in moltissime cartelle, compresa la cartella di Startup, così l'immagine continuerà ad essere visiBile a ogni login.
Attualmente non c'è soluzione.
Nessun commento:
Posta un commento