lunedì 22 ottobre 2018

Ransomware: qualche aggiornamento sugli ultimi giorni. Dharma e Scarab tornano alla carica


La scorsa settimana (e sopratutto nel fine settimana), sono state messe in diffusione nuove versioni di ransomware che già ben conosciamo, ma che sono costantemente in aggiornamento/rifacimento: nel dettaglio stiamo parlando dei ransomware Dharma e Scarab.

Dharma Ransomware:
Galleria dei Ransomware >> vedi qui tutti i ransomware della famiglia

La nuova versione in diffusione cripta i file secondo lo stesso meccanismo delle precedenti versioni: modifica poi l'estensione dei file criptati in .[mixon.constantine@aol.com].gamma. La nota di riscatto, rilasciata sia informato .html che .txt, si chiama "all your data has been locked us You want to return?" e contiene due email tramite le quali contattare gli attaccanti e ottenere le informazioni necessarie a pagare il riscatto.  

La nota di riscatto. Sono evidenziate le email di contatto

Scarab Ransomware

1. Scarab-DiskDoctor:è la prima delle nuove versioni della famiglia Scarab rilasciate in questi giorni. Cripta i file con l'algoritmo AES, quindi chiede un riscatto via email alle vittime. Non modifica il nome dei file criptati, ma vi aggiunge l'estensione .DiskDoctor. Ha iniziato la propria attività già nel Giugno 2018, ma con scarsi risultati: ora c'è una nuova ondata di diffusione, rivolta principalmente contro utenti di lingua inglese. 

File criptati e nota di riscatto di Scarab-DiskDoctor.

La nota di riscatto viene rilasciata in .txt: "HOW TO RECOVER ENCRYPTED FILES.TXT.
La buona notizia è che non riesce a bypassare l'User Account Control: prima di installarsi infatti, il file Scarab-DiskDoctor.exe richiede l'autorizzazione come amministratore.


La cattiva notizia, invece, è che se erroneamente l'utente autorizza l'installazione del ranomware, oltre a criptare i file, Scarab DiskDoctor si premurerà anche di cancellare le copie shadow di volume e disabilitare le funzioni di ripristino di Windows. Ecco alcuni comandi che usa per queste azioni:
  •  cmd.exe / c wbadmin: cancella il systemstatebackup; 
  •  wbadmin.exe wbadmin  cancella il systemstatebackup; 
  •  cmd.exe / c wmic: cancella la copie shadow di volume; 
  •  WMIC.exe wmic: cancella la copie shadow di volume
  •  cmd.exe vssadmin:  cancella copie shadow / Tutti / Silenzioso 
  •  vssadmin.exe vssadmin: cancella copie shadow / Tutti / Silenzioso 
  •  cmd.exe / c bcdedit / set {default} ripristino abilitato: no
  •  bcdedit.exe bcdedit / set {default} ripristino abilitato: no

 2. Scarab Bomber 
la seconda versione di Scarab in diffusione in questi giorni si chiama Bomber, dall'estensione che, appunto, aggiunge ai file che cripta, ovvero .bomber (oltre a rinominare i file, così da renderli indistinguibili gli uni dagli altri). Utilizza l'algoritmo di criptazione AES-256-CBC e richiede un riscatto in Bitcoin. E' scritto in Delphi. Sotto esempi di file criptati da Scarab-Bomber.


Viene diffuso tramite svariati metodi (exploit kit, attacco su configurazione RDP non solida, allegati dannosi via email ecc..), ma si distingue principalmente per l'uso di componenti legittimi, ma dannosi (TeamViewer o TeamBot/TeamSpy). Talvolta il file dannoso contenente l'eseguibile del ransomware può perfino essere nascosto dietro un falso Pdf. Per fare un esempio, i ricercatori che hanno studiato questa variante si sono imbattuti in una versione di 7-ZipPortable dannosa, dove, accanto all'eseguibile, viene aggiunta una libreria dal nome del tutto inequivocabile: cryptbase.dll (tra l'altro individuata dalla maggior parte degli antivirus più noti).

Fonte: https://id-ransomware.blogspot.com/

Anche questa versione, come le precedenti, cancella le copie shadow di volume e disabilita le funzioni di ripristino di Windows, quindi riavvia il pc target. La buona notizia è che, anche in questo caso, il ransomware non riesce a bypassare l'User Account Control (UAC) quindi deve richiedere l'autorizzazione all'utente. Se invece UAC è stato disabilitato in precedenza, l'utente neppure si accorgerà dell'infezione se non a cose fatte.

osk.exe è il file di crittografia.

La nota di riscatto, in formato .txt, viene copiata in ogni cartella contenente file criptati e ha ben 3 email di contatto:
  • soft2018@tutanota.com 
  • soft2018@mail.ee
  • newsoft2018@yandex.by 

Ad oggi nessuna delle tre versioni ransomware ha una soluzione: chi dovesse essere colpito da tali infezioni, metta al sicuro una copia dei dati criptati e ci contatti alla mail alessandro@nwkcloud.com. I nostri tecnici provvederanno ad analisi del campione ransomware e vi ricontatteranno quando sarà disponibile una soluzione. Contemporaneamente è urgente rimuovere ogni traccia del ransomware dal sistema, effettuando una pulizia approfondita: alcuni ransomwre infatti continuano ad attivarsi ad ogni riavvio del sistema, criptando quindi tutti i nuovi file immessi/creati nel sistema bersaglio. 

Nessun commento:

Posta un commento