lunedì 25 settembre 2017

BTCWare: una insidiosa famiglia di ransomware. Con una nuova versione in diffusione.


E' stata individuata una nuova variante del ransomware BTCWare: quella di BTCWare è una famiglia di ransomware non molto "viva" in termini di aggiornamento e numero delle varianti, ma sicuramente pericolosa, a giudicare dal numero delle vittime. La diffusione di questo ransomware non avviene tramite la comune modalità di invio via emial di spam: BTCWare si diffonde con attacchi di brute-force contro le porte RDP protette da password deboli. I cyber-criminali quindi ottengono da remoto il controllo della macchina, quindi installano il ranomware. 

Attualmente, le versioni più pericolose sono:
  • Versione 1: .btcware
  • Versione 2: .nuclear
  • Versione 3: .wyvern

Versione 1: BTCWare
La diffusione della prima versione iniziò nel Marzo del 2017, ma era inizialmente conosciuta come CrptXXX. Dopo meno di una settimana la primissima variante fu sostituita da quella che è da considerarsi la capostipite della famiglia: il ransomware assunse quindi il nome di BTCWare o CryptoByte. Nel mese di Aprile dello stesso anno, BTCWare si impose subito come ransomware pericoloso, registrando circa 10 infezioni al giorno. 


Infezioni di BTCWare registrate in Aprile 2017

La forma di criptazione è
.[< email address >].btcware   o 
.[< email address >].cryptobyte

La nota di riscatto di BTCWare
E' decriptabile: nel Maggio 2017 infatti un utente, probabilmente legato al gruppo autore del ransomware, ne ha rilasciato la master key, permettendo l'approntamento di tool per la risoluzione. Il tool è disponibile qui.

Versione 2: Nuclear
Nuclear ripropone lo stesso meccanismo di criptazione del capostipite: cambia la nota di riscatto, rinominata HELP.hta. Cambia anche  la mail di contatto per ottenere le informazioni necessarie al pagamento: black.world@tuta.io.

La nota di riscatto di Nuclear

Ovviamente la differenza più eclatante sta nel cambio dell'estensione che il ransomware aggiunge ai file criptati e la modalità con cui rinomina gli stessi. Nel dettaglio ai file criptati viene aggiunto [affiliate_email].nuclear (vedere immagine sotto). 


Attualmente non ha soluzione.

Versione 3: wyvern.
L'ultima versione è stata individuata in the wild 3 giorni fa. Il nome deriva dalla forma che assumono i file dopo la criptazione: wyvern infatti aggiunge al nome del file .[email]-id-[id].wyvern. Il meccanismo di criptazione non cambia rispetto alle precedenti versioni e anche la nota di riscatto è rimasta identità: HELP.hta.  Cambia anche la mail di contatto per ottenere le informazioni necessarie per il pagamento del riscatto: decryptorx@cock.li

Nell'immagine sottostante è possibile vedere come vengono modificati i file dopo la criptazione. 


Anche questa versione, per ora, non ha soluzione. 

Aggiorneremo in caso di uscita di nuove versioni o di soluzioni. 

Nessun commento:

Posta un commento