venerdì 3 marzo 2017

RANSOMWARE DHARMA: risolvibile la criptazione in .dharma


Nel Giugno 2016 viene rilasciata la master key e il decryptor del ransomware Crysis. Pochissimi giorni dopo irrompe sulla scena una nuova famiglia di ransomware, Dharma appunto, molto simile al ransomware Crysis. 

Inizialmente usava una sola estensione, [indirizzo email].dharma. Poco tempo dopo ne sono uscite altre varianti, le più diffuse delle quali criptano aggiungendo al nome del file le estensioni [indirizzo email].wallet o [indirizzo email].zzzzz. 

Ricapitolando, le estensioni sono:

1. nomefile.[email].dharma
2.nomefile.[email].wallet
3. nomefile.[email].zzzzz

Ecco qua una serie di mail ed estensioni di criptazione del ransomware

.[3angle@india.com].dharma
.[amagnus@india.com].dharma
.[base_optimal@india.com].dharma
.[bitcoin143@india.com].dharma
.[blackeyes@india.com].dharma
.[doctor.crystal@mail.com].dharma
.[dr_crystal@india.com].dharma
.[emmacherry@india.com].dharma
.[google_plex@163.com].dharma
.[mr_lock@mail.com].dharma
.[opened@india.com].dharma
.[oron@india.com].dharma
.[payforhelp@india.com].dharma
.[savedata@india.com].dharma
.[singular@india.com].dharma
.[suppforhelp@india.com].dharma
.[SupportForYou@india.com].dharma
.[tombit@india.com].dharma
.[worm01@india.com].dharma

Alcuni esempi
Il file "immagine.jpg" viene rinominato immagine.jpg.[Bitcoin143@india.com].dharma oppure immagine.jpg[Worm01@india.com] .dharma".

Sotto invece esempi di criptazione in .wallet


Come funziona?
Cripta utilizzando un algoritmo asimmetrico: la chiave privata viene ovviamente salvata su un server remoto controllato dai cyber-criminali. Per ottenerla e rimettere i file in chiaro, alle vittime vengono chiesti dai 500 ai 1000 dollari in bitcoin. 

La richiesta di riscatto
Dharma, a differenza delle precedenti versioni, non modifica lo sfondo del desktop, ma crea un file di testo "Readme.txt" un file "Readme.html" in ogni cartella criptata: questo file contiene la richiesta di riscatto. Il messaggio è molto breve e indica alla vittima che il computer non è protetto, che gli sviluppatori del virus sono in grado di risolvere il problema e ripristinare i dati. Non chiedono, in questa prima fase, nessun contatto, ma invitano le vittime a scrivere ad una mail per ottenere supporto. Sarà nella mail di risposta alla richiesta di supporto che i cyber-criminali inseriranno la richiesta di riscatto: vi mettiamo però in guardia sul fatto che molti utenti che hanno pagato il riscatto non hanno comunque ottenuto la chiave di decodifica.


Non è ancora chiaro il metodo di diffusione di questo ransomware.

C'è però una buona notizia: un misterioso utente ha recentemente rilasciato sul forum Bleeping Computer la master-key del ransomware, permettendo così la possibilità di decriptare almeno la criptazione in .dharma. 

Non c'è invece ancora una soluzione per le versioni che criptano in .wallett e in .zzzzz. 

Nessun commento:

Posta un commento