martedì 25 luglio 2017

Risolvibile il Ransomware Scarab


Il Ransomware Scarab è una variante di Hidden Tear, un ransomware open-source rilasciato nel 2015 usato sia a fini di studio che per fini criminosi. I nostri tecnici sono in grado di risolvere quest'infezione: chi avesse subito questo attacco può scriverci alla mail alessandro@nwkcloud.com e/o visitare il sito www.decryptolocker.it

Come si diffonde
I vettori di diffusione del ransomware Scarab sono email di spam contenenti allegati che veicolano l'eseguibile del ransomware. 

Come cripta i file
Gli allegati, di solito .zip., contengono l'eseguibile del ransomware: l'exe viene di solito copiato nelle cartelle di sistema. L'esecuzione del .exe comporta l'infezione: per prima cosa il ransomware esegue
una scansione del computer in cerca dei file da criptare, quindi si connette al proprio server C&C per inviare informazioni sul pc infetto e l'ID univoco che identifica il pc stesso.

Scarab modifica il nome del file aggiungendo, dopo l'estensione reale, un indirizzo email, quindi l'estensione .scarab.

Lo schema di criptazione è quindi questo (fare riferimento all'immagine sotto)
documento.doc.[xxxx@xxx.xx].scarab


Scarab cerca di impedire il recupero dei file
Scarab cancella sia i punti di ripristino di sistema sia le copie shadow di volume: queste azioni impediscono il ripristino dei file. Per fare ciò Scarab utilizza il comando vssadmin, che permette al ransomware di operare con i privilegi di amministratore.


La nota di riscatto
Il ransomware Scarab ha due versioni della nota di riscatto: una immagine .bmp che viene posta a sostituzione dell sfondo del desktop e un file .txt che lascia nelle cartelle dove cripta i file.


Nessun commento:

Posta un commento