Recentemente è stato individuato un nuovo ransomware, ispirato indubbiamente alla famiglia di ransomware InfineTear. Questo ransomware è stato rinominato dai ricercatori come Whiterose perchè modifica le estensioni dei file criptati aggiungendovi l'estensione .WHITEROSE. Non è ancora chiaro come venga diffuso: per ora alcune vittime hanno indicato, come possibile metodologia di attacco, l'installazione manuale dopo hacking dei servizi di Desktop Remoto. Colpisce esclusivamente in Europa, con una particolare attenzione alla Spagna.
La buona notizia è che il ransomware è risolvibile, con l'assistenza dei nostri tecnici di Decryptolocker in collaborazione con Dr.Web. Basterà inviare una email con due file criptati e la richiesta di riscatto all'email alessandro@nwkcloud.com e i nostri tecnici provvederanno ad analisi dei file.
Come cripta i file?
La prima operazione compiuta da WhiteRose è la verifica della presenza del file C:\Perfect.sys: se questo non esiste, uscirà dal programma, altrimenti creerà il file.Il ransomware eseguirà quindi la scansione di tutti i drive sul computer e cercherà tutti i file con estensioni bersaglio (contiene infatti una lista di oltre 100 diverse tipologie di file bersaglio). Non cripterà invece alcun file presente nelle seguenti cartelle:
- Windows;
- Program Files;
- $Recycle.Bin;
- Microsoft.
Quando un file viene criptato, subisce la modifica dell'estensione: l'estensione originale viene infatti sostituita con _ENCRYPTED_BY.WHITEROSE.
Alla fine della criptazione, White Rose eseguirà i seguenti comandi per disabilitare il Windows Startup Repair, cancellare le copie shadow di volume e il log degli eventi.
- cmd.exe /C vssadmin.exe delete shadows /all /Quiet
- cmd.exe /C WMIC.exe shadowcopy delete
- cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
- cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
- cmd.exe /C wevtutil.exe cl Application
- cmd.exe /C wevtutil.exe cl Security
- cmd.exe /C wevtutil.exe cl System
Infine si auto-cancellerà dal sistema.
La nota di riscatto
In ogni cartella criptata, il ransomware creerà una nota di riscatto chiamata HOW-TO-RECOVERY-FILES.TXT che contiene una immagine ASCII di una rosa, una storia "interessante" e quindi le istruzioni per pagare il ransomware.
In ogni cartella criptata, il ransomware creerà una nota di riscatto chiamata HOW-TO-RECOVERY-FILES.TXT che contiene una immagine ASCII di una rosa, una storia "interessante" e quindi le istruzioni per pagare il ransomware.
Per storia interessante intendiamo il fatto che questa nota di riscatto ha un che di poetico, al contrario delle minacciose e meramente tecniche note di riscatto della maggior parte dei ransomware fino ad oggi in circolazione. Lo sviluppatore racconta, in una lunga poesia, la storia di un hacker solo e isolato, circondato da rose bianche in un giardino: spiega quindi che vuole condividere le sue rose bianche con tutto il mondo, criptando i computer e "trasformandoli in fiori". L'unico precedente simile è il ransomware BlackRuby, la cui nota di riscatto era anch'essa indirizzata alla ricerca di una certa bellezza letteraria, ma completamente no sense.
Indicatori di compromissione:
File associati
C:\Perfect.sys
HOW-TO-RECOVERY-FILES.TXT
Nessun commento:
Posta un commento