martedì 14 novembre 2017

In diffusione nuova variante della famiglia CryptoMix: cambia l'estensione in .XZZX


In questi giorni,  è stata scoperta la diffusione di una ulteriore variante della famiglia di  ransomware CryptoMix:  questa nuova variante va ad aggiungere l'estensione .XZZX ai nomi del file criptati. La famiglia CryptoMix  si dimostra ancora una volta tra le più attive con l'ennesima variante distribuita nell'arco di poche settimane. Le principali differenze di questa nuova versione del ransomware rispetto alle precedenti riguardano nuovamente le email di contatto per ricevere le istruzioni di pagamento e l'estensione di criptazione aggiunta. Il  metodo di criptazione è rimasto  invece sostanzialmente invariato.

1. La nota di riscatto
La nota di riscatto ha nuovamente il nome  _HELP_INSTRUCTION.TXT  ma adesso,  per contattare le vittime per le istruzioni di pagamento, utilizza le seguenti email :

  •  xzzx@tuta.io;
  •  xzzx1@protonmail.com;
  •  xzzx10@yandex.com;
  •  xzzx101@yandex.com




2 l'estensione di criptazione.
La seconda principale differenza di questa nuova variante è  l'estensione aggiunta ai file criptati.  Con questa versione quando un file è criptatato da un ransomware, modificherà il nome del file e aggiungerà l'estensione  .XZZX al nome del file criptato. Ad esempio, un file test criptato da questa variante può cambiare nome in  0D0A516824060636C21EC8BC280FEA12.XZZX.


3. Le chiavi pubbliche di criptazione
Questa variante contiene inoltre 11 chiavi di criptazione pubbliche RSA-2014, che saranno usate per criptare la chiave AES usata a sua volta per criptare i file della vittima. Ciò consente al ransomware di poter lavorare completamente offline senza necessità di comunicazione di rete. Queste 11 chiavi pubbliche sono le stesse della precedente versione.

Come difendersi?
Per proteggersi efficacemente da Locky (e da qualsiasi ransomware) è importante avere sempre a disposizione un backup affidabile e testato dei proprio dati da poter ripristinare in caso di emergenza, per esempio di fronte ad un attacco ransomware. 

Ultimo, ma non certo per importanza, è necessario assicurarsi di seguire delle corrette abitudini per quanto riguarda la sicurezza online che, il più delle volte, costituiscono il passaggio più importante.
  • Non aprire gli allegati se non si conosce chi li ha inviati.
  • Non aprire gli allegati finché non si hanno conferme sull’identità della persona che li ha effettivamente inviati.
  • Scansionare gli allegati con strumenti come VirusTotal.
  • Assicurarsi di installare tutti gli aggiornamenti di Windows non appena vengono resi disponibili. Assicurarsi inoltre di aggiornare tutti i programmi, in particolare Java, Flash ed Adobe Reader. I programmi non aggiornati presentano maggiori vulnerabilità di sicurezza, che vengono comunemente sfruttate dai distributori di malware. Per queste ragione è importante tenersi sempre aggiornati.
  • Assicurarsi di aver installato un adeguato software di sicurezza, possibilmente con un modulo anti ransomware e con una protezione multilivello. 
  • Utilizzare password complesse e soprattutto non utilizzare mai la stessa su più siti diversi.
Indicatori di compromissione
1. Mail di contatto
  •  xzzx@tuta.io;
  •  xzzx1@protonmail.com;
  •  xzzx10@yandex.com;
  •  xzzx101@yandex.com
2. Nota di riscatto
  • _HELP_INSTRUCTION.TXT
3. File eseguibile
  • C:\ProgramData\[random].exe


Nessun commento:

Posta un commento