giovedì 18 maggio 2017

Uiwix: un altro ransomware che usa lo stesso exploit di WannaCry per diffondersi


Uiwix usa EternalBlue
per diffondersi, l'exploit che sfrutta una falla del protocollo SMBv1* per accedere ai sistemi. E' lo stesso exploit usato per la diffusione di WannaCry.  E' uno dei già tanti - e molto probabilmente sempre più- ransomware e malware che puntano sullo sfruttamento di questa falla: falla già risolta, ma ancora molto molto diffusa. 

Come si diffonde
Come già detto, Uiwix usa EternalBlue come WannaCry, ma non ha la capacità di auto-propagarsi come un worm, capacità invece presente fin dalla prima versione di WannaCry. Gli sviluppatori di Uiwix hanno puntato più alla classica scansione in cerca di computer vulnerabili sui quali usare script dannosi. Al contrario di WannaCry, inoltre, Uiwix non ha file: nel senso che non viene scritto sul disco, ma viene eseguito direttamente in memoria e comincia ad infettare il computer. Questo accorgimento rende estremamente difficile, per la gran parte dei programmi di sicurezza, individuare precisamente che il programma dannoso è in esecuzione e impedirgli quindi di criptare i file della vittima. 

Che cosa fa?

Quando un computer viene infettato con Uiwix, il ransomware creerà un codice ID di 10 caratteri, associato in maniera univoca alla vittima. Questo codice verrà usato come parte dell'estensione modificata dei file criptati. Come già sappiamo, Uiwix cripta i file della vittima e ne modifica l'estensione sostituendo quella originale con ".uiwix". Prima della nuova estensione aggiunge il codice di 10 cifre.

Ad esempio, il file foto.jpg diventerà 
foto.jpg._1357823409.Uiwix

Attualmente non si sa molto altro: il ransomware è il circolazione da pochissime ore e sta infettando un numero ridotto, ma crescente, di vittime. Tra le peculiarità già notate c'è il fatto che contiene una tecnologia anti virtual-machine, così da rendere difficile la sua esecuzione in macchine virtuali (vere e proprie simulazioni di un ambiente computer, usati per fare test su malware di vario tipo senza generare danni: spesso i ricercatori di sicurezza li usano come vere e proprie "trappole" per "catturare" malware da studiare). 

Quando viene eseguito, viene rilevato se la DLL è in esecuzione in  Vmware, VirtualBox, PC virtuale, Sunbelt Sandbox, Sandboxie, Cuckoo  e se il sistema usa il  Host-Guest File System. Se è così, semplicemente, la DLL non potrà fare nulla. 

Sono state rilevate anche alcune stringhe, il cui ruolo è ancora incerto, ma che pare siano pensate per rubare informazioni degli account da IE, Firefox, Edge, Filezilla, Pidgne e altri programmi. 

La Richiesta di riscatto
Quando Uiwix ha completato la criptazione del file, crea una richiesta di riscatto denominata "DECODE_FILES.txt", contenente le indicazioni per il pagamento del riscatto. 


Attualmente il sito di pagamento si trova su http://4ujngbdqqm6t2c53.onion  e richiede circa 200 dollari americani di riscatto. 

Non ci sono soluzioni, ma varie aziende di sicurezza IT lo stanno esaminando. 

* [N.d.R] Ricordiamo che la falla in questione è già stata risolta. Consigliamo di vedere qui o qui (nel caso si usino Windows XP, Windows 8, Windows Server 2003).

Nessun commento:

Posta un commento