Un ricercatore indipendente di sicurezza ha segnalato a Bleeping Computer di aver individuato in diffusione una nuova versione del ransomware Scarab (vedi qui e qui). Cripta i dati con un algoritmo AES, quindi richiede alle vittime una somma in Bitcoin per ottenere il tool per la decriptazione dei dati. Si diffonde sfruttando le configurazioni RDP scarsamente protette, ma anche tramite email di spam contenenti allegati dannosi. Più raramente è nascosto in falsi update, software "rimpachettati" e installer infetti. Cripta i file aggiungendovi l'estensione .DiskDoctor, mentre il nome dei file criptati non subisce alcuna modifica.
Esempio di file criptati |
La particolarità rispetto ad altri ransomware è che cripta un numero limitatissimi di tipologie di file: .dll, .doc, .docx, .fdb, .jpg, .kt1, .png, .txt, .zip. In ogni caso trattasi di estensioni assai diffuse, quindi il potenziale di rischio è comunque molto alto.
La nota di riscatto:
DiskDoctor lascia, in ogni cartella criptata, un file .txt contenente informazioni e email di contatto per la vittima. Il file si chiama HOW TO RECOVER ENCRYPTED FILES.TXT. Il testo in breve è questo:
"Attenzione, tutti i tuoi file sono stati criptati!! Per ricevere il tool di decriptazione, devi inviare una mail con il tuo ID personale all'indirizzo email DiskDoctor@protonmail.com. Risponderemo con ulteriori informazioni.
ATTENZIONE
* Non tentare di disinstallare il programma o avviare il software antivirus
* Tentativi di auto-decriptazione dei file si concluderanno con la perdita dei tuoi dati.
* Tool di decriptazione di altri utenti sono incompatibili coi tuoi dati: ogni utente ha una chiave di criptazione personale. "
La nota di riscatto:
DiskDoctor lascia, in ogni cartella criptata, un file .txt contenente informazioni e email di contatto per la vittima. Il file si chiama HOW TO RECOVER ENCRYPTED FILES.TXT. Il testo in breve è questo:
"Attenzione, tutti i tuoi file sono stati criptati!! Per ricevere il tool di decriptazione, devi inviare una mail con il tuo ID personale all'indirizzo email DiskDoctor@protonmail.com. Risponderemo con ulteriori informazioni.
ATTENZIONE
* Non tentare di disinstallare il programma o avviare il software antivirus
* Tentativi di auto-decriptazione dei file si concluderanno con la perdita dei tuoi dati.
* Tool di decriptazione di altri utenti sono incompatibili coi tuoi dati: ogni utente ha una chiave di criptazione personale. "
Attualmente questa versione non è risolvibile.
Indicatori di compromissione:
Mail di contatto:
DiskDoctor@protonmail.com
File collegati:
<random> .exe
HOW TO RECOVER ENCRYPTED FILES.TXT
Qui un piccolo prospetto delle versioni del ransomware Scarab
V.1 -> .scarab -> risolvibile
V.2 -> .scorpio -> non risolvibile
V.3 -> .scarab -> non risolvibile
V.4 -> .diskdoctor -> non risolvibile
Nessun commento:
Posta un commento