martedì 10 aprile 2018

Nuove varianti del ransomware Matrix: diffusi via Remote Desktop Service


Sono state individuate due nuove varianti del ransomware Matrix: entrambe vengono installate attraverso servizi di desktop remoto hackerati. Criptano i file presenti sul computer attaccato, ma uno dei due è più avanzato dell'altro, presentando più messaggi di debug e usando i blocchi per ripulire lo spazio libero. 

Sulla base dei messaggi di debug visualizzati dal ransomware quando è in esecuzione e da vari report, emerge che questo ransomware viene distribuito alle vittime "bucando" le password dei servizi di Desktop Remoto connessi direttamente al web. Una volta ottenuto l'accesso al computer, gli attaccanti caricano l'installer e lo eseguono. 

Due varianti in distribuzione...
Attualmente vengono diffuse due nuove varianti: entrambe diffuse via RDP, criptano anche le condivisioni di rete non mappate, mostrano una finestra con lo stato di avanzamento della criptazione, eliminano le copie shadow di volume così da impedire il ripristino del sistema e criptano appunto i file. Vi sono anche delle differenze tra le due versioni: le elenchiamo di seguito.

Variante 1:  [Files4463@tuta.io]
Questa variante viene identificata dall'estensione [Files4463@tuta.io] ed è quella meno avanzata. Quando questa variante viene eseguita, visualizza le due finestre che vedete sotto, che mostrano in contemporanea l'avanzamento dell'infezione. Una nel dettaglio mostra lo stato di avanzamento della criptazione, l'altra le informazioni relative alla scansione delle condivisioni di rete.



Quando i file vengono criptati subiscono la modifica sia del nome, sia dell'estensione originale, modificata in [Files4463@tuta.io]. Sotto alcuni esempi di file criptati.

La nota di riscatto viene copiata in ogni cartella criptata, è in formato RTF ed è denominata !ReadMe_To_Decrypt_Files!.rtf. Vi si trovano le email di contatto per le istruzioni di riscatto, che sono Files4463@tuta.io, Files4463@protonmail.ch, Files4463@gmail.com,

Questa variante modifica anche l'immagine di sfondo del desktop:


Attualmente non è decriptabile.

Variante 2:  [RestorFile@tutanota.com]
Questa seconda variante è identificabile dall'estensione [RestorFile@tutanota.com]. Opera in maniera simile alla prima, ma ha messaggi di debug migliori e utilizza i comandi a blocco per sovrascrivere tutto lo spazio libero sul computer una volta conlusa la criptazione. Utilizza inoltre differenti contatti email, estensione di criptazione e nota di riscatto rispetto alla prima versione. 

Come la prima versione, mostrane le due finestre di avanzamento dell'infezione, ma si può vedere quanto siano più dettagliate. 



Cripta i file modificandone il nome e l'estensione originale in [RestorFile@tutanota.com]. Rilascia inoltre la nota di riscatto, denominata #Decrypt_Files_ReadMe#.rtf in ogni cartella criptata. Le email di contatto per le informazioni per il riscatto sono RestorFile@tutanota.com, RestoreFile@protonmail.com e RestoreFile@qq.com. Anche questa versione modifica anche lo sfondo del desktop con una immagine.

Finita la criptazione, esegue il comando "cipher.exe /w:c" così da sovrascrivere tutto lo spazio libero sul drive C:. In questa maniera viene impedito alle vittime di usare tool di recupero file.

Anche questa versione, per ora, non ha soluzione. 

Nessun commento:

Posta un commento