La riscossa di CryptoMix: nuova versione del ransomware in diffusione

Molti ricercatori lo davano ufficialmente per scomparso: non si avevano notizie né di nuove versioni né di nuove campagne del ransomware CryptoMix da tempo. Invece da qualche giorno fioccano denunce di nuove infezioni: molteplici utenti  hanno denunciato di aver subito un'infezione ransomware caratterizzata dall'aggiunta dell'estensione .DLL al file criptati. 

Le vittime riferiscono di aver subito l'infezione dopo un attacco che ha violato i servizi di desktop remoto connessi direttamente ad Internet. Le testimonianze riferiscono inoltre che il ransomware ha abilitato l'account amministratore di default per poi modificarne la password, così da impedire alla vittima di avervi accesso. Fatto che conferma una tendenza già in atto: sempre meno campagne di mailspam di massa per la distribuzione di ransomware in favore di attacchi più mirati su servizi pubblicamente accessibili che garantiscono un accesso più ampio al sistema. 

La nota di riscatto

Questa variante continua a usare, come nome della nota di riscatto, lo stesso di precedenti versioni di CryptoMix, ovvero _HELP_INSTRUCTIONS_.TXT. Sono invece cambiate le email di contatto coi cybercriminali, tramite le quali le vittime possono richiedere le istruzioni per il pagamento del riscatto. Le nuove email di contatto (utili anche come indicatori di compromissione per rindividuare la versione del ransomware) sono:

dllteam@protonmail.com, dllteam1@protonmail.com, dllpc@mail.com, dllpc@tuta.io, laremohan@tuta.io, claremohan@yandex.com e mohanclare@yandex.com

Come cripta i file

CryptoMix DLL modifica sia il nome sia l'estensione per ogni file criptato: il nome diventa una serie casuale di lettere maiuscole e numeri mentre l'estensione originale del file viene modificata in .DLL.  BleepingComputer riporta questa immagine a titolo esemplificativo. 

Attualmente questa versione non è risolvibile se non ottenendo dai cyber criminali il tool di decriptazione, soluzione che sconsigliamo caldamente perchè non c'è alcuna certezza, dopo il pagamento, né di ottenere il tool di decriptazione né che questo funzioni correttamente: aggiorneremo gli utenti non appena sarà disponibile una soluzione sicura al 100%. 

Come proteggersi dai ransomware

Cogliamo l'occasione per ricordare alcune buone abitudini e accorgimenti utili per proteggersi da questo tipo di infezioni:

1. il primo consiglio è quello di dotarsi di un sistema di backup a cadenza regolare, meglio se in cloud, o almeno che esegua la copia di backup su un hard drive che non resti connesso al sistema. Quello del backup è l'unico sistema garantito al 100% perchè si possano sempre recuperare i file criptati;
2. assicuratevi inoltre di non avere alcun servizio di desktop remoto connesso direttamente ad Internet. Il consiglio è di eseguire sempre i servizi di desktop remoto ben protetti "dietro" una connessione VPN accessibile soltanto a coloro che hanno un account VPN sulla propria rete;
3. installate una solida soluzione antivirus che, oltre ai comuni livelli di protezione, offra uno specifico modulo antiransomware e sistemi di individuazione sia euristica che comportamentale;
4. non aprite mai allegati contenuti in email il cui contenuto e/o mittente è sconosciuto, sospetto o inaspettato;
5. per evitare quelle infezioni che sfruttano le vulnerabilità di software e sistemi operativi, consigliamo di mantenere sempre aggiornati sia i SO che i software in uso, sopratutto quelli molto popolari e diffusi che quindi sono bersagli prediletti dei cyber attaccanti (Adobe Reader, Flash Player ecc...).