venerdì 30 marzo 2018

In diffusione le ultime due versioni System e Mole66 del ransomware Cryptomix


Due nuove versioni del ransomware Cryptomix
Sono state scoperte altre due varianti del Ransomware Cryptomix, denominate System e Mole66. Per il momento i due ransomware sono stati analizzati solo superficialmente, dunque verranno fornite ulteriori informazioni a riguardo non appena questa verranno scoperte. Inoltre, per adesso non c'è la possibilità di decifrare nessuno dei due ransomware gratuitamente. Vediamo dunque
insieme di cosa si tratta e quali sono le tecniche più efficaci per proteggersi.

Novità del ransomware Cryptomix System
La prima variante di Cryptomix, è stata scoperta proprio questa settimana da Michael Gillespie. Questa aggiunge l'estensione .SYSTEM ai file crittografati. La prima importante modifica di questa variante rispetto alle precedenti riguarda sicuramente l'ambito del riscatto: infatti utilizza differenti indirizzi e-mail per contattare la vittima riguardo, appunto, il pagamento del riscatto. Gli indirizzi sono:
  • systemwall@keemail.me,
  • systemwall@protonmail.com,
  • systemwall@yandex.com,
  • systemwall1@yandex.com
  • emily.w@dr.com.
La richiesta di riscatto, invece, si chiama _HELP_INSTRUCTION.TXT anche in questa versione e anche i metodi di crittografia restano gli stessi. Inoltre, in questo caso si ha l'estensione aggiunta ai file crittografati.


Questo un file viene criptato dal ransomware, ne modifica l'estensione aggiungendovi .SYSTEM. Facciamo un esempio: un file crittografato dalla variante System subisce la modifica del nome e dell'estensione secondo lo schema 0D0A516824060636C21EC8BC280FEA12.SYSTEM. 


Indicatori di compromissione:
  • File associati con la variante Cryptomix del Server:
  • E-mail associate con il Ransomware del Server:
Novità del ransomware Cryptomix Mole66
La seconda variante che vogliamo analizzare oggi, denominata Mole66, è stata invece scoperta da MalwareHunterTeam. Questa versione aggiunge l'estensione .MOLE66 ai file crittografati, ha cambiato le email di contatto e il nome della richiesta di riscatto. Come nel caso precedentemente analizzato, il nome della richiesta di riscatto è stato modificato in _HELP_INSTRUCTIONS_.TXT, mentre i meccanismi di criptazione sono rimasti invariati rispetto alle precedenti versioni.


Per contattare la vittima riguardo il pagamento del riscatto, viene invece utilizzato l'indirizzo e-mail alpha2018a@aol.com. La criptazione è uguale, nel meccanismo, a quella di altre versioni di Cryptomix, ma questa variante modifica l'estensione in .MOLE66. 


Per esempio, un file di prova crittografato da tale variante ha un nome file crittografato del tipo 0D0A516824060636C21EC8BC280FEA12.MOLE66.

Indicatori di compromissione:
  • File associati con la variante MOLE66 Cryptomix:
  • E-mail associate con il Ransomware del Server:
Buone abitudini per proteggersi dai ransomware System e Mole66
Qualche consiglio per difendersi dai ransomware: innanzitutto, sarebbe buona regola avere sempre un backup, affidabile e testato, dei propri dati da ripristinare in caso di emergenza. Oltre a ciò, per difendersi da potenziali violazioni, sarebbe opportuno seguire una serie di accorgimenti:
  • Non aprire allegati provenienti da mittenti sconosciuti.
  • Evitare di aprire gli allegati fino a che l’identità del mittente non viene confermata.
  • Eseguire la scansione degli allegati.
  • Assicurarsi di eseguire gli aggiornamenti di Windows non appena vengono resi disponibili. Lo stesso vale per tutti gli altri tipi di programmi ed in particolare per Java, Flash ed Adobe Reader. I programmi più datati presentano infatti maggiori vulnerabilità rispetto a quelli aggiornati in tempi recenti, diventando così una facile preda per i cyber criminali.
  • Assicurarsi di aver installato un software di sicurezza con protezione multi-livello.
  • Utilizzare password più complesse ed evitare di impostare la stessa su siti o servizi diversi.

Nessun commento:

Posta un commento