martedì 17 gennaio 2017

Il ransomware Merry X-MAS è arrivato anche in Italia.



Ci sono arrivate segnalazioni di infezione da ransomware Merry Christmas, detto anche  Merry X-Mas, dal contenuto della nota di riscatto. Cripta i file con estensioni ".merry", ".PEGS1", ".MRCR1" or ".RARE1"

Come viene distribuito?
Il ransomware Merry X-Mas viene distribuito tramite campagne di email di SPAM in varie parti del mondo. La prima individuata era destinata ad utenti statunitensi: la email fingeva di essere un reclamo della Federal Trade Commission. Qui sotto un esempio:


In questo caso, ad esempio, si può già notare la truffa: l'indirizzo da cui viene spedita l'email è @ftc.gov.uk, ma la Federal Trade Commission è un ente statunitense, non inglese. 
Oltre a questo, il link contenuto nella mail in realtà non punta sul sito ufficiale della Commissione, ma verso un sito il cui dominio (govapego.com) è controllato da un cyber-crminale.
Sono state individuate altre 5 campagne di diffusione, di cui due in Europa.

Come cripta i file?
Il click sul link comporta il download di un file ZIP contenente un secondo file chiamato complaint.pdf.exe (NB: se non si attiva la visualizzazione delle estensioni dei file, ciò che si vedrà sarà solo la dicitura "complaint.pdf": questo è un trucco dei  cyber-criminali per nascondere l'estensione .exe, cioè per impedire all'utente di capire che sta avviando, in realtà, un software e non aprendo un innocuo pdf).


Il click sul file avvierà, in background, il processo di criptazione.
Tenterà la connessione all'URL  https://onion1.host/cd/copy/gate.php  e caricherà informazioni riguardo al computer della vittima, nel dettaglio, user name, nome del computer, processi in esecuzione, programmi installati, l'ora locale e altre informazioni relative alle componenti hardware del computer.

Eseguirà quindi la scansione dei drive locali e avvierà la criptazione di una lunga serie di estensioni bersaglio. Come detto, cripterà i file con le seguenti estensioni:
".merry", ".PEGS1", ".MRCR1" or ".RARE1"


La richiesta di riscatto:in ogni cartella contenente file criptati, il ransomware copierà la nota di riscatto denominata "YOUR_FILES_ARE_DEAD.hta": la nota si imposterà in autostart, così da autoavviarsi ad ongni login di Windows.




File associati a Merry X-Mas Ransomware:
YOUR_FILES_ARE_DEAD.hta
Complaint.pdf.exe

Nessun commento:

Posta un commento