mercoledì 8 febbraio 2017

Un nuovo ransomware dalla famiglia CryptoMix: CryptoShield


E' uscita una nuova variante del ransomware CryptoMix o CryMix, denominata CryptoShield 1.0, viene distribuito tramite EITest e l'exploit kit RIG.

Come CryptoShield infetta le vittime... 

Come abbiamo detto CryptoShield viene distribuito attraverso siti violati o compromessi. Ma vediamo in che modo: EITest è un codice di attacco Javascript che viene inserito su un sito, lasciando ignari sia i gestori del sito in questione che gli utenti che lo visitano. EITest carica l'exploit kit RIG che è in grado di scaricare e installare il ransomware CryptoShield sul pc della vittima (il visitatore del dito web) che non si accorge di niente. Questo exploit kit sfrutta le vulnerabilità ed installa il programma per infettare il computer. Per tenersi più al sicuro è importante che gli utenti facciano in modo che tutti i programmi abbiano gli aggiornamenti installati, i particolare quelli che interagiscono con documenti online o siti. Ciò significa che aggiornamenti come Oracle Java, Windows, Adope Flash e Reader devono essere aggiornati non appena gli aggiornamenti vengono messi a disposizione.

Come CryptoShield cripta i file.. 
Una volta che il file eseguibile viene scaricato ed eseguito sul pc della vittima viene generato un ID unico per ogni vittima e una chiave di cifratura. L'infezione quindi carica l'ID e la chiave di crittografia privata nel proprio server di controllo. A questo punto procederà ad eseguire la scansione del pc per identificare i file da cifrare. L'elenco delle estensioni prese di mira da CryptoShield sono:

.ACCDB, .MDB, .MDF, .DBF, .VPD, .SDF, .SQLITEDB, .SQLITE3, .SQLITE, .SQL, .SDB, .DOC, .DOCX, .ODT, .XLS, .XLSX, .ODS, .PPT, .PPTX, .ODP, .PST, .DBX, .WAB, .TBK, .PPS, .PPSX, .PDF, .JPG, .TIF, .PUB, .ONE, .RTF, .CSV, .DOCM, .XLSM, .PPTM, .PPSM, .XLSB, .DOT, .DOTX, .DOTM, .XLT, .XLTX, .XLTM, .POT, .POTX, .POTM, .XPS, .WPS, .XLA, .XLAM, .ERBSQL, .SQLITE-SHM, .SQLITE-WAL, .LITESQL, .NDF, .OST, .PAB, .OAB, .CONTACT, .JNT, .MAPIMAIL, .MSG, .PRF, .RAR, .TXT, .XML, .ZIP, .1CD, .3DS, .3G2, .3GP, .7Z, .7ZIP, .AOI, .ASF, .ASP, .ASPX, .ASX, .AVI, .BAK, .CER, .CFG, .CLASS, .CONFIG, .CSS, .DDS, .DWG, .DXF, .FLF, .FLV, .HTML, .IDX, .JS, .KEY, .KWM, .LACCDB, .LDF, .LIT, .M3U, .MBX, .MD, .MID, .MLB, .MOV, .MP3, .MP4, .MPG, .OBJ, .PAGES, .PHP, .PSD, .PWM, .RM, .SAFE, .SAV, .SAVE, .SRT, .SWF, .THM, .VOB, .WAV, .WMA, .WMV, .3DM, .AAC, .AI, .ARW, .C, .CDR, .CLS, .CPI, .CPP, .CS, .DB3, .DRW, .DXB, .EPS, .FLA, .FLAC, .FXG, .JAVA, .M, .M4V, .MAX, .PCD, .PCT, .PL, .PPAM, .PS, .PSPIMAGE, .R3D, .RW2, .SLDM, .SLDX, .SVG, .TGA, .XLM, .XLR, .XLW, .ACT, .ADP, .AL, .BKP, .BLEND, .CDF, .CDX, .CGM, .CR2, .CRT, .DAC, .DCR, .DDD, .DESIGN, .DTD, .FDB, .FFF, .FPX, .H, .IIF, .INDD, .JPEG, .MOS, .ND, .NSD, .NSF, .NSG, .NSH, .ODC, .OIL, .PAS, .PAT, .PEF, .PFX, .PTX, .QBB, .QBM, .SAS7BDAT, .SAY, .ST4, .ST6, .STC, .SXC, .SXW, .TLG, .WAD, .XLK, .AIFF, .BIN, .BMP, .CMT, .DAT, .DIT, .EDB, .FLVV, .GIF, .GROUPS, .HDD, .HPP, .M2TS, .M4P, .MKV, .MPEG, .NVRAM, .OGG, .PDB, .PIF, .PNG, .QED, .QCOW, .QCOW2, .RVT, .ST7, .STM, .VBOX, .VDI, .VHD, .VHDX, .VMDK, .VMSD, .VMX, .VMXF, .3FR, .3PR, .AB4, .ACCDE, .ACCDR, .ACCDT, .ACH, .ACR, .ADB, .ADS, .AGDL, .AIT, .APJ, .ASM, .AWG, .BACK, .BACKUP, .BACKUPDB, .BANK, .BAY, .BDB, .BGT, .BIK, .BPW, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CE1, .CE2, .CIB, .CRAW, .CRW, .CSH, .CSL, .DB_JOURNAL, .DC2, .DCS, .DDOC, .DDRW, .DER, .DES, .DGC, .DJVU, .DNG, .DRF, .DXG, .EML, .ERF, .EXF, .FFD, .FH, .FHD, .GRAY, .GREY, .GRY, .HBK, .IBANK, .IBD, .IBZ, .IIQ, .INCPAS, .JPE, .KC2, .KDBX, .KDC, .KPDX, .LUA, .MDC, .MEF, .MFW, .MMW, .MNY, .MONEYWELL, .MRW, .MYD, .NDD, .NEF, .NK2, .NOP, .NRW, .NS2, .NS3, .NS4, .NWB, .NX2, .NXL, .NYF, .ODB, .ODF, .ODG, .ODM, .ORF, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .PDD, .MTS, .PLUS_MUHD, .PLC, .PSAFE3, .PY, .QBA, .QBR, .QBW, .QBX, .QBY, .RAF, .RAT, .RAW, .RDB, .RWL, .RWZ, .S3DB, .SD0, .SDA, .SR2, .SRF, .SRW, .ST5, .ST8, .STD, .STI, .STW, .STX, .SXD, .SXG, .SXI, .SXM, .TEX, .WALLET, .WB2, .WPD, .X11, .X3F, .XIS, .YCBCRA, .YUV, .MAB, .JSON, .MSF, .JAR, .CDB, .SRB, .ABD, .QTB, .CFN, .INFO, .INFO_, .FLB, .DEF, .ATB, .TBN, .TBB, .TLX, .PML, .PMO, .PNX, .PNC, .PMI, .PMM, .LCK, .PM!, .PMR, .USR, .PND, .PMJ, .PM, .LOCK, .SRS, .PBF, .OMG, .WMF, .SH, .WAR, .ASCX, .K2P, .APK, .ASSET, .BSA, .D3DBSP, .DAS, .FORGE, .IWI, .LBF, .LITEMOD, .LTX, .M4A, .RE4, .SLM, .TIFF, .UPK, .XXX, .MONEY, .CASH, .PRIVATE, .CRY, .VSD, .TAX, .GBR, .DGN, .STL, .GHO, .MA, .ACC, .DB

Quando CyptoShield identifica un file da criptare utilizza la crittografia AES-256 ed aggiunge .CRIPTOSHIELD come estensione del file criptato.

ESEMPIO:  il file test.jpn diventa grfg.wct.CRYPTOSHIELD

È possibile decifrare i nomi dei file utilizzando qualsiasi ROT-13, come ad esempio rot13.com .
In ogni cartella nella quale CryptoShield codifica un file, automaticamente crea la nota di riscatto per il ripristino del file , denominata RESTORING FILES #.HTML e RESTORING FILES #.TXT. Durante questo processo il ransomware eseguirà i comandi esposti nell'immagine sottostante per disabilitare il recupero di avvio di Windows e per ripulire le Windows Shadows Volume Copies.

cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /C net stop vss

CryptoShield visualizzerà un falso allarme per indicare che c'è stato un errore di applicazione di Explorer.exe. L'avviso è molto strano perchè sono presenti degli errori di ortografia come "momory"e richiede di premere il pulsante Yes per ripristinare il lavoro su Explorer.exe



Una volta premuto Yes alla richiesta di cui sopra si presenterà un promt User Account Control che chiede se si desidera  consentire l'esecuzione del comando "C:\Windows\SysWOW64\wbem\WMIC.exe" process call create "C:\Users\User\SmartScreen.exe". 
Questo spiega perchè veniva mostrato l'avviso precedente:
per convincere la vittima che facendo clic sul tasto Yes sarebbe arrivato al promt UAC mostrato in foto.



Quando la vittima cliccherà sì, il ransomware comincerà nuovamente a mostrare la nota
# RESTORING FILES #.HTML



La richiesta di riscatto contiene informazioni riguardo a ciò che è accaduto ai file , un ID di identificazione personale e tre indirizzi e-mail che possono essere utilizzati per contattare lo sviluppatore per le istruzioni sul pagamento.
Gli indirizzi e-mail per il momento sono :
restoring_sup@india.com
restoring_sup@computer4u.com 
restoring_reserve@india.com 

Purtroppo non c'è modo di decifrare i file crittografati da CryptoShield gratuitamente. 

Nessun commento:

Posta un commento