giovedì 31 maggio 2018

Individuata nuova versione del ransomware Cryptomix: arriva Backup Cryptomix


Ieri alcuni ricercatori hanno individuato una nuova variante della fertilissima famiglia di ransomware CryptoMix: rispetto a versioni precedenti, le differenze si trovano nell'estensione aggiunta ai file criptati, nel cambio della email di contatto contenuta nella nota di riscatto e in piccole modifiche della nota stessa.

Le novità
Il metodo di diffusione è rimasto, per quanto scoperto fino ad adesso e denunciato dalle vittime stesse, variegato: dai software incorporati in freeware online alla diffusione via email di spam. Più rari i casi di diffusione via exploit, sfruttando le vulnerabilità dei software e/o del sistema operativo in uso sulla macchina bersaglio. Ugualmente, rimangono identici i meccanismi col quale il ransomware si rende autoeseguibile ad ogni riavvio (così da poter criptare ogni nuovo file che venga immesso nella macchina) e coi quali cancella le copie shadow di volume (così da impedire il recupero dei file). 
1. L'estensione
questa versione è riconoscibile per l'evidente segnale che "lascia in coda" al nome del file criptati: infatti Backup Cryptomix modifica il nome dei file aggiungendovi l'estensione .BACKUP, preceduta da una serie di oltre 32 caratteri e numeri.


2. Le email di contatto
La nota di riscatto, come detto, è stata modificata: si forniscono ben 6 diversi indirizzi email di contatto per le vittime, che sono: 
  • backuppc@tuta.io, 
  • backuppc@protonmail.com, 
  • backuppc1@protonmail.com, 
  • b4ckuppc1@yandex.com, 
  • b4ckuppc2@yandex.com
  • backuppc1@dr.com
La nota di riscatto. Fonte: bleepingcomputer.com
Attualmente questo ransomware non ha possibilità di essere risolto gratuitamente.

Buone abitudini per proteggersi dai ransomware 
Qualche consiglio per difendersi dai ransomware: innanzitutto, sarebbe buona regola avere sempre un backup, affidabile e testato, dei propri dati da ripristinare in caso di emergenza. Oltre a ciò, per difendersi da potenziali violazioni, sarebbe opportuno seguire una serie di accorgimenti:
  • Non aprire allegati provenienti da mittenti sconosciuti.
  • Evitare di aprire gli allegati fino a che l’identità del mittente non viene confermata.
  • Eseguire la scansione degli allegati.
  • Assicurarsi di eseguire gli aggiornamenti di Windows non appena vengono resi disponibili. Lo stesso vale per tutti gli altri tipi di programmi ed in particolare per Java, Flash ed Adobe Reader. I programmi più datati presentano infatti maggiori vulnerabilità rispetto a quelli aggiornati in tempi recenti, diventando così una facile preda per i cyber criminali.
  • Assicurarsi di aver installato un software di sicurezza con protezione multi-livello.
  • Utilizzare password più complesse ed evitare di impostare la stessa su siti o servizi diversi.
Indicatori di compromissione:
File associati alla variante Backup Cryptomix:
HELP_INSTRUCTION.TXT
C:\ProgramData\[random].exe

Email di contatto:

backuppc@tuta.io
backuppc@protonmail.com
backuppc1@protonmail.com
b4ckuppc1@yandex.com
b4ckuppc2@yandex.com
backuppc1@dr.com

Comandi eseguiti:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Nessun commento:

Posta un commento