È stata rilasciata una nuova versione di CryptoMix, o CryptFile2, che modifica il nome dei file e l'estensione degli stessi con la forma [payment_email].ID[VICTIM_16_CHAR_ID].WALLET.
Questo comporta maggiore difficoltà per le vittime nell'identificazione del ransomware poiché l'estensione .WALLET è stata già usata da Dharma/Crysis e ora anche da CryptoMix. Questa versione è stata scoperta dal ricercatore indipendente Robert Rosenborg e successivamente identificata come appartenente alla famiglia CryptoMix.
Sfortunatamente, fin’ora non sappiamo come viene distribuito il ransomware Wallet. Quello che sappiamo è che, una volta avviato, genera un codice identificativo unico della vittima di 16 caratteri esadecimali e una chiave di criptazione nel computer, per poi rinviare queste informazioni al server Command&Control. Dopodiché comincia a scansire il computer per criptare i file. Diversamente dalla maggior parte delle infezioni ransomware e dalla versione precedente Revenge, questa versione non mira a specifiche estensioni, ma piuttosto cripta qualunque file rilevi che non sia in una cartella whitelist.
Windows, Packages, Cookies, Programdata, Microfot, Boot, Application, Data, Winnt, Inetcache, Nvida, System Volume Information, $RECYCLE.BIN, %Temp%, Program Files, Program Files (x86), Cache, Temporary Internet Files, Webcache, AppData.
Quando Wallet cripta i file lo fa utilizzando la crittazione AES per poi rinominare i file criptati.
Quando rinomina i file, utilizza il cifrario monoalfabetico ROT-13 nel nome originale del file, così da avere le estensioni:
[SHIELD0@USA.COM].ID[VICTIM_16_CHAR_ID].WALLET, o [admin@hoist.desi].ID[VICTIM_16_CHAR_ID].WALLET o [crysis@life.com].ID[VICTIM_16_CHAR_ID].WALLET,
a seconda delle varianti.
Per esempio un file chiamato test.jpg sarà criptato e rinominato come grfg.wct.[SHIELD0@USA.COM].ID[1111111111111111].WALLET.
Wallet mostrerà poi un falso messaggio di allerta:
“The instruction at 0xe9c71f6c referenced memory at 0x00000000C. The memory could not be read. Click on Yes in the next window for restore work explorer.exe.”
Proprio come in Revenge, il testo sintatticamente scorretto del falso messaggio di Wallet dovrebbe suggerire alle vittime la sua non validità.
Quando le vittime cliccano sul pulsante “OK”, il ransomware usa WMIC (Windows Management Instrumentation Command) per lanciarsi con una escalazione di privilegi: lo scopo è eseguire "bcdedit" per rimuove le volume shadow copies e impedire così la possibilità di backup dei file. Il sistema mostrerò quindi un prompt User Account Control, come mostrato nell'immagine, al fine di trarre in inganno la vittima e ottenere dalla vittima stessa le necessarie autorizzazioni per eseguire la modifica.
Il messaggi d’allerta verrà visualizzato insistentemente fino a che l'utente non farà clic su YES.
Una volta premuto, il ransomware avvierà i seguenti comandi che disabilitano la risoluzione problemi di Windows e elimnano le copie shadow.cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
La richiesta di riscatto
In ciascuna delle cartelle in cui Wallet cripta un file, crea anche una richiesta di riscatto chiamata #_RESTORING_FILES_#.TXT. Diversamente dalle versioni precedenti di CryptoMix, questa variante non crea una versione HTML della richiesta.
Questa nota ransom contiene informazioni riguardo ai file, l'ID univoco e un indirizzo email che può essere usato per contattare il cyber-criminale per le istruzioni sul pagamento. Gli indirizzi email che sono collegati a questa variante finora sono: shield0@usa.com, admin@hoist.desi, e crysis@life.com. Il cyber-criminale offre anche 5 decrittazioni gratuite per dare prova della reale possibilità di decriptare i file. Sfortunatamente, al momento non c’è modo di decriptare i file.
Nessun commento:
Posta un commento