giovedì 10 novembre 2016

Trojan.Encorder.6491: cripta i file in .enc. Abbiamo la soluzione!


Chi ha subito infezioni da ransomware Trojan.Encoder.6491 invii alla mail alessandro@nwkcloud.com due file criptati e la richiesta di riscatto: la criptazione è infatti risolvibile. Consigliamo a chi è stato colpito dal ransomware di conservare i file criptati.


Estensioni di criptazione:
Trojan.Encoder.6491       .enc
-------------------------------------------------------


Gli specialisti di Dr Web hanno individuato il primo ransomware scritto in .Go, linguaggio di programmazione open source sviluppato da Google.
Il ransomware viene individuato come Trojan.Encorder.6491 e cripta in file modificandone l'estensione in .enc. Stavolta però, esiste una soluzione!

Come cripta i file: 
Una volta lanciato, come prima operazione,  cancella la cartella %APPDATA%\Windows_Update per crearne, al suo posto, una con lo stesso nome. In questa cartella copia se stesso sotto il nome di Windows_Security.exe. Qualora il file Widows_Security.exe fosse già presente, elimina l'originale sostituendosi allo stesso. Esegue quindi una seconda copia di se stesso nella cartella
%TEMP%\\Windows_Security.ex.Il processo di criptazione è lanciato dalla cartella %TEMP%. Cripta quindi i file (vedi sotto) e ne modifica l'estensione in .enc. 



Un altro comando che esegue è
vssadmin.exe Delete Shadows /All /Quiet

col quale cancella le copie shadow dei file impedendo così la possibilità di recuperare i file da un punto di ripristino.

Quali file cripta?
Cripta 140 differenti tipi di file esclusi file il cui nome contenga le seguenti stringhe:

tmp
winnt
Application Data
AppData
Program Files (x86)
Program Files
temp
thumbs.db
Recycle.Bin
System Volume Information
Boot
Windows
.enc
Instructions
Windows_Security.exe

La richiesta di riscatto: 
Il ransomware salva la richiesta di riscatto dei cyber-crminali sotto il nome %USERPROFILE%\\Desktop\\Instructions.html: la richiesta quindi verrà aperta nel browser. E' uno dei pochi casi in cui la decriptazione avviene in automatico, grazie ad una funzione interna al ransomware stesso, una volta effettuato il pagamento el riscatto in bitcoin.


C'è una soluzione?
Si, lo staff Dr.Web ha individuato una falla nell'algoritmo di decriptazione ed è stato quindi in grado di approntare un tool di decriptazione. In quanto partner italiani di Dr.Web possiamo offrire questo servizio: vi invitiamo a contattarci quindi tramite il sito www.decryptolocker.it o sulla pagina facebook. 

Nessun commento:

Posta un commento