mercoledì 22 febbraio 2017

Ransomware Sage 2.0 : molte le similitudini con Cerber


Recentemente è stato scoperto il ransomware Sage 2.0 (Ransom.Cry), distribuito dallo spambot Trojan.Pandex. Sage 2.0 sembra avere caratteristiche simili al ransomware Cerber (Ransom.Cerber) anche se non è stato trovato alcun collegamento tra le due famiglie di ransomware. Sage2.0 è infatti l'evoluzione di Cryptolocker (Ransom.Cry), è stato individuato nel Settembre 2016 e continua ad essere attivo. Inizialmente veniva distribuito tramite l'exploit kit RIG , invece in seguito il metodo di diffusione maggiore è diventato lo spam. Sono state trovate variati del ransomware che vengono scaricate dal bot TrickBot. 

Analogie con Cerber...

Il ransomware arriva sul pc come file .zip allegato alle email di spam, come in  figura



Quando viene eseguito Sage 2.0 utilizza l'icona Adobe pdf per apparire simile ad un file .pdf. 
Tra le similarità con Cerber troviamo il supporto multilingue nella richiesta di riscatto ed anche il formato HTA, chiamato “!HELP_SOS.hta” che contiene appunto la richiesta di riscatto e le istruzioni per il recupero del file (in più lingue).
Questa versione del ransomware aggiunge al sistema anche nuove icone personalizzate per i file con estensione “.hta” (una chiave) e “.sage” (un lucchetto). Quest’ultima estensione viene utilizzata per i file cifrati.

Un'altra similitudine con Cerber è l'utilizzo di uno script VBS che utilizza l'interfaccia SAPI Spvoice per informare l'utente dell'infezione del server, cioè la vittima viene informata dell'infezione tramite una voce sintetica che lo comunica. 
Sage 2.0 tenta di terminare i processi relativi ad applicativi di gestione di database installati sul PC per poter cifrare i file relativi, comportamento già visto appunto in Cerber. La lista dei processi da terminare è sostanzialmente identica a quella di Cerber, in particolare alla versione  numero 4. 



Non c'è alcuna prova che dimostri il legame tra i due ransomware, anche se i due malware condividono la stessa packer e sembrano essere il frutto degli stessi ideatori, ancora nessuno è in grado di affermarlo con certezza. L'unica deduzione certa è che Sage 2.0 sta imitando Cerber per arrivare ad ottenere il suo stesso successo . 

Consigli per evitare i ransomware... 
  • Eliminare i messaggi di posta elettronica dall'aspetto sospetto  , soprattutto se contengono link o allegati.
  • Tenere sempre il vostro software di sicurezza aggiornato per proteggersi contro eventuali nuove varianti di malware.
  • Mantenere il sistema operativo e altri software aggiornati. Gli aggiornamenti software spesso includono patch per le vulnerabilità di sicurezza scoperte di recente che potrebbero essere sfruttate da malintenzionati.
  • Effettuare regolarmente il backup di tutti i file memorizzati sul computer. Se il computer viene infettato dal ransomware i file possono essere ripristinati una volta eliminato il malware. 

Nessun commento:

Posta un commento