mercoledì 22 marzo 2017

Ransomware CryptoShield: nuovo membro della famiglia CryptoMix, si diffonde via exploit kit


La famiglia dei ransomware CryptoMix si estende e conta un nuovo membro: CryptoShield 1.0 è stato individuato in the wild e viene distribuito via EITest e l'exploit kit RIG.

Come si diffonde...
CryptoShield viene diffuso attraverso siti compromessi: quando un utente ignaro naviga su questi siti, subisce una catena di attacchi EITest. EITest altro non è che un codice di attacco in Javascript che viene iniettato nei siti così da poter essere attivato dai visitatori. EITest, in questo caso, carica l'exploit kit RIG (che sfrutta le vulnerabilità dei software, sistemi operativi compresi, presenti nella macchina) e quindi scarica e installa il ransomware CryptoShield. Nel dettagglio lo script di EITest lancia il codice dannoso da un altro sito che ativa quindi l'exploit kit necessario per installare CryptoShield.

Nota bene: l'unico sistema di protezione contro gli Exploit Kit è tenere sempre aggiornati tutti i software presenti sul pc, sopratutto Adobe Flash Player e Adobe Reader, Oracle Java e Windows.

Come cripta i file...
Una volta che l'eseguibile del ransomware è scaricato ed eseguito sul computer della vittima, questo genererà un ID unico per la vittima e la chiave di criptazione: invierà quindi l'ID unico e la chiave privata di criptazione al proprio server C&C. Quindi procede alla scansione del pc in cerca dei file bersaglio e avvia la criptazione.

Quando CryptoShield incontra un file bersaglio (ovvero file di estensioni che CryptoShield ha nella propria lista di attacco), lo cripterà usando la criptazione AES-256: ne modifica inoltre l'estensione in .CRYPTOSHIELD, mentre ne modificherà il nome usando il criptatore ROT-13 (per riavere in chiaro almeno i nomi dei file basta usare servizi quali http://www.rot13.com/)



Durante il processo di infezione, Revenge esegue anche i seguenti comandi al fine di disabilitare il Windows startup recovery  e cancellare le copie Shadow di volume

cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /C net stop vss

Il falso alert
CryptoShield a questo punto mostra un falso alert, che vedete sotto, riguardo ad un errore di Explorer. L'inglese un pò "maccheronico" in cui è scritto, fa però pensare ad una alert falso.


Il clic su OK farà aprire un prompt User Account Control, che chiede il permesso ad eseguire il comando "C:\Windows\SysWOW64\wbem\WMIC.exe" process call create "C:\Users\User\SmartScreen.exe" : così si spiega l'alert di prima, che serve solo a convincere la vittima a consentire il comando.



L'alert precedente viene mostrato quindi al solo scopo di concincere la vittima a fare clic su Yes nel prompt UAC, così che il ransomware possa essere eseguito con i privilegi di amministrazione.

Una volta che la vittima fa clic su "yes" il ransomware si riavvierà mostrando la nota di riscatto in .html nel browser.

La nota di riscatto...
In ogni cartella nella quale ha criptato i dati, CryptoShield crea due versioni della nota di riscatto: # RESTORING FILES #.HTML e # RESTORING FILES #.TXT


Le email legate al pagamento nella nota di riscatto sono:
restoring_sup@india.com (email primaria di supporto)
restoring_sup@computer4u.com (email secondaria di supporto)
restoring_reserve@india.com. (email di riserva)

Nessun commento:

Posta un commento