Gli sviluppatori del ransomware Locky hanno nuovamente deciso di cambiare l'estensione dei file crittografati, questa volta il nome scelto si allontana dalle divinità nordiche e si ispira alla mitologia egiziana: viene utilizzata adesso,infatti, l'estenzione .osiris.
La nuova campagna di diffusione avviene tramite email di spam contenenti allegati .xsl: questi file Excel contengono le macro per installare e scaricare il ransomware sul computer della vittima.
Locky Osiris viene distribuito tramite false fatture Excel...
Le email di spam hanno, come oggetto, la dicitura "INV [NUMERI_CASUALI]": in allegato contengono uno zip con un nome simile "INVOCE_INV [NUMERI_CASUALI].xls".
Quando si apre il foglio di calcolo Exel appare un foglio bianco che chiede all'utente di attivare le macro. Una caratteristica interessante di questo meccanismo è che il nome del foglio nella pagina Exel è Лист1, che è la traduzione ucraina di Sheet1, questo potrebbe indicare la fonte da cui è stato sviluppato il ransomware.
Il ransomware viene istallato tramite un file DLL rinominato...
Appena l'utente attiva le macro, una macro VBA scarica un file DLL e lo esegue usando Rundll32.exe. Quando la macro viene eseguita, scarica l'installer nella cartella %Temp%: questo file DLL non ha perà la comune estensione .dll, ma è stato rinominato con l'estenzione .spe.
ATTENZIONE: il nome del DLL utilizzato per istallare Locky non è uguale in tutti i casi.
Una volta istallato, Locky esegue una scansione del computer per individuare tutti i file di una determinata estensione e li cripta.
Al file criptato viene aggiunta l'estensione che abbiamo detto . osiris.
Per esempio il file che si chiama fiori.jpg può essere rinominato 11111111--1111--1111 - FC8BB0BA - 5FE9D9C2B69A.osiris , il formato per questo tipo di rinomina è [first_8_chars_of_id] - [next_4_chars_of_id] - [next_4_chars_of_id] - [8_hexadecimal_chars] - [12_hexadecimal_chars] .osiris.
La nota di riscatto
Appena Locky termina la crittografia dei file appare la nota di riscatto, nella quale sono contenute tutte le informazioni per effettuare il pagamento e riottenere il proprio file. I nomi delle note di riscatto sono chiaramente modificati dalla variante Osiris di Locky e si chiamano DesktopOSIRIS.bmp , DesktopOSIRIS.htm , Osiride [4_numbers] .htm , e Osiride [4_numbers] .htm.
Nella versione in corso di distribuzione c'è un piccolo bug nel codice delle note di riscatto . Solitamente % UserpProfile% \ DesktopOSIRIS.bmp e % UserProfile% \DesktopOSIRIS.htm vengono salvati sul desktop del PC della vittima con il nome OSIRIS.bmp e OSIRIS.htm , ma gli sviluppatori cambiando il nome del file si sono dimenticati di aggiungere una barra rovesciata dopo la parola Desktop, quindi il file viene memorizzato nella cartella %UserProfile% e la parola Desktop appare anteposta al nome previsto.
Decriptare la variante Osiris del ransomware Locky...
Come abbiamo detto non è ancora possibile decriptare la variante Osiris del ransomware Locky, l'unico modo per recuperare i file è tramite il backup, o se si è particolarmente fortunati con delle copie shadow. Locky tenta di rimuovere tutte le copie shadow, ma in alcuni casi l'infezione non riesce a farlo per diversi motivi, quindi nel caso non si disponga di un backup valido l'ultima risorsa potrebbe essere sperare di poter ripristinare i propri file grazie alle copie shadow. (per questo, leggi qui)
Nessun commento:
Posta un commento