martedì 21 marzo 2017

Revenge Ransomare: nuovo membro della temibile famiglia CryptoMix. Si diffonde via Exploit kit


E' stata individuata una nuova variante della famiglia di ransomware CryptoMix, chiamata Revenge, diffusa via exploit kit. Questa variante presenta molte similitudini con il suo predecessore CryptoShield (anch'esso variante di CryptoMix) ma include cambiamenti minori comunque interessanti. Ad oggi non ha soluzione, quindi prestate molta attenzione ai siti sui quali navigate. 


Come si diffonde?
Revenge viene distribuito attraverso siti web hackerati, nelle pagine dei quali è stato aggiunto il javascript dell'Exploit Kit RIG: quando un utente visita il sito web dannoso, incrocia sulla sua strada il codice dannoso che tenterà appunto di eseguire l'exploit delle vulnerabilità dei software presenti nel computer al fine d installare il ransomware senza permesso e senza che l'utente ne sia a conoscenza. 

Come cripta i file?

Una volta che l'eseguibile del ransomware è eseguito sul computer della vittima, genererà un ID unico per la vittima di 16 caratteri esadecimali. Quindi terminerà i seguenti processi, relativi ai database, per avere pieno accesso ai database e poter quindi criptare i dati:
msftesql.exe, sqlagent.exe, sqlbrowser.exe, sqlservr.exe, sqlwriter.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, mydesktopqos.exe, agntsvc.exeisqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, agntsvc.exeagntsvc.exe, agntsvc.exeencsvc.exe, firefoxconfig.exe, tbirdconfig.exe, ocomm.exe, mysqld.exe, mysqld-nt.exe, mysqld-opt.exe, dbeng50.exe, sqbcoreservice.exe

A questo punto Revenge procederà alla scansione del computer in cerca delle estensioni bersaglio per criptare i file. Se il predecessore di Revenge colpiva 454 estensioni, Revenge ne individua e cripta 1,237. Usa l'algoritmo di criptazione AES-256 per criptare i file e modifica l'estensione dei file stessi in .REVENGE.

Il nome dei file viene modificato secondo questo schema:
[16 caratteri esadecimali, ID della vittima][16 caratteri esadecimali][8 caratteri sconosciuti][8 caratteri esadecimali]. REVENGE.

Durante il processo di infezione, Revenge esegue anche i seguenti comandi al fine di disabilitare il Windows startup recovery  e cancellare le copie Shadow di volume

cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /C net stop vss

Il falso alert
Come il predecessore, Revenge mostra un falso alert, come si vede sotto


Una volta fatto clic su "Continue" appare un prompt User Account Control, che chiede il permesso di eseguire il seguente comando

"C:\Windows\SysWOW64\wbem\WMIC.exe" process call create "%UserProfile%\a1x[r65r.exe" 


L'alert precedente viene mostrato quindi al solo scopo di concincere la vittima a fare clic su Yes nel prompt UAC, così che il ransomware possa essere eseguito con i privilegi di amministrazione. 

La nota di riscatto...
In ogni cartella in cui si trova un file criptato. Revenge crea la nota di riscatyto # !!!HELP_FILE!!!#.txt. Non crea, come succede in moltissimi ransomware, la stessa nota di riscatto, ma in versione html. 


Come evitarlo?
Qui le solite indicazioni rispetto alle email di spam (come riconoscerle, non aprire gli allegati ecc..) sono poco utili: un ransowmare distribuito via exploit kit può diffondersi assolutamente passando inosservato, semplicemente magari navigando su un sito. In questo caso, la miglior difesa è quella di aggiornare regolarmente i software in uso nel pc e i sistemi operativi stessi, affinché quante più falle di sicurezza (vulnerabilità) possibili siano risolte e si riduca il "possibile terreno di attacco" del ransomware. 


Nessun commento:

Posta un commento