martedì 23 gennaio 2018

Il nuovo ransomware desuCrypt: come cripta e come risolvere l'infezione


Bleepingcomputer ha scoperto una versione modificata del progetto ransomware open source desuCrypt. La nuova versione viene utilizzata come codice base per una nuova famiglia di ransomware attivamente distribuita. Attualmente sono due le varianti distribuite, una con l'estensione .insane e l'altra con estensione .DEUSCRYPT.
La buona notizia è che esiste già decryptor efficace, stato rilasciato per entrambe le versioni. 
Come desuCrypt cripta i file
Quando viene eseguito desuCrypt, viene visualizzata una finestra dove appare lo stato corrente del processo di criptazione. Questa finestra rimarrà aperta finché il ransomware non avrà terminato la criptazione di tutti i file presenti sulla macchina. 

Fonte: bleepingcomputer.com

Secondo Michael Gillespie, il creatore di ID-Ransomware, almeno la variante Insane di desuCrypt sta crittografando i file usando la crittografia RC4. Questa chiave RC4 viene ulteriormente crittografata, utilizzando una chiave RSA-2048 allegata che viene e quindi poi incorporata a sua volta alla fine di ogni file crittografato.

Fonte: bleepingcomputer.com
A seconda della variante, durante la criptazione di un file, il ransomware aggiunge l'estensione
.[rememberggg@tutanota.com].DEUSCRYPT o l'estensione .[insane@airmail.cc].insane al nome del file stesso. Ad esempio, un file " 4. png" criptato dalla variante Insane sarà rinominato come 4.png. [insane@airmail.cc] .insane.

Una volta che tutti i file sono stati critptati, appare sul desktop la richiesta di riscatto. La richiesta è denominata How_decrypt_files.txt per la variante Insane e note.txt per la variante DeusCrypt. 
Entrambe le note di riscatto indicano alla vittima di contattare gli indirizzi email elencati per le istruzioni di pagamento.

Al momento non è noto a quanto ammonti il pagamento del riscatto e se effettivamente una volta pagato i criminali forniscano il decryptor per recuperare i file.

Come decriptare le varianti Insane & Deuscrypt
Michael Gillespie è stato in grado di creare un decryptor per entrambe le varianti di desuCrypt. Il decryptor per il ransomware può essere scaricato dal seguente link (N.d.R: non abbiamo potuto procedere a verifica dell'effettivo funzionamento del decryptor. 

Per utilizzare il decryptor, la vittima deve avere lo stesso file sia nel formato criptato che non, il file deve essere più grande di 10 MB. Questi file verranno utilizzati per forzare la chiave di decriptazione. Una volta individuata la chiave decriptazione, sarà possibile utilizzare il decryptor per recuperare gratuitamente il resto dei file.


Come proteggersi da desuCrypt
Per proteggersi dal ransomware, è importante utilizzare qualche accorgimento e un software di sicurezza. 
  • Prima di tutto, dovresti sempre avere un backup affidabile e testato dei tuoi dati che può essere ripristinato in caso di emergenza, come un attacco ransomware.
  • Non aprire allegati se non sai chi li ha inviati.
  • Scansiona sempre gli allegati.
  • Assicurati che tutti gli aggiornamenti di Windows siano installati non appena vengono pubblicati.
  • Assicurati inoltre di aggiornare tutti i programmi, in particolare Java, Flash e Adobe Reader.
  • Assicurati di utilizzare un software di sicurezza installato che utilizzi rilevazioni comportamentali o tecnologia white list.
  • Utilizza password complesse e non riutilizzare mai la stessa password su più siti.
Per una guida completa sulla protezione dei ransomware, clicca questo link.
Indicatori di compromissione:
File associati:
Insane: How_decrypt_files.txt
Deuscrypt: note.txt

Email associate:
Insane: insane@airmail.cc
Deuscrypt: rememberggg@tutanota.com

Nessun commento:

Posta un commento