giovedì 21 settembre 2017

Nuovo ransomware della famiglia CryptoMix: ecco SHARK


Due giorni fa è stata individuata, in the wild, una ennesima, nuova versione di ransomware appartenente alla famiglia CryptoMix. Quella di CryptoMix è una famiglia in costante evoluzione, tantoché, come scritto anche in precedenza, se ne conta una nuova versione a settimana. Stavolta, invece, sono trascorse oltre 3 settimane dall'ultimo rilascio. 

Dettagliamo meglio le novità rispetto alla precedente versione. 

Cambia l'estensione...
La nuova versione non ha apportato modifiche nel meccanismo di criptazione: è cambiata semplicemente l'estensione che viene aggiunta ai file criptati. In questo caso .SHARK. Il nome del file viene invece sostituito con una serie di 32 caratteri esadecimali.

Fonte: bleepingcomputer.com

La nota di riscatto

La nota di riscatto si chiama ancora _HELP_INSTRUCTION.TXT, ma sono cambiate le email di contatto alle quali le vittime devono rivolgersi per ottenere le istruzioni di pagamento.

Fonte: bleepingcomputer.com

Le chiavi di criptazione...
Questa variante contiene 11 chiavi pubbliche RSA-1024 che vengono usate per criptare la chiave AES usata per la criptazione dei file. Anche questa vesione quindi può lavorare completamente offline senza comunicazioni di rete. Queste 11 chiavi sono però differenti da quelle della versione precedente Arena Ransomware. 

Indicatori di compromissione
File associati al Ransomware Shark
_HELP_INSTRUCTION.TXT
C:\ProgramData\[random].exe

Mail associate al Ransomware Shark
shark01@msgden.com
shark02@techmail.info

Nessun commento:

Posta un commento