Lawrence Abrams, ricercatore di sicurezza informatica ed esperto di rasnomware, ha individuato una nuova famiglia di ransomware (che per ora si "fregia" del solo capostipite) molto particolare: parliamo di vxCrypter, il primo ransomware che non cripta solo i dati delle vittime, ma "riordina" il computer infetto cancellando i file duplicati. Così, paradossalmente, il primo effetto di questo "trucchetto" è quello di migliorare le prestazioni del pc infetto, liberando spazio. Di contro però, diminuisce il tempo necessario al ransomware per criptare il pc.
Il ransomware è ancora in sviluppo, ma è la prima volta nella storia dei ransomware che il cyber attaccante si occupa anche di cancellare i file duplicati durante la routine di criptazione. vxCrypter è programmato in .NET, ma non è del tutto nuovo: si basa, riadattandolo e "ammodernandolo" su un vecchio ransomware, mai distribuito perchè non è mai terminata la fase di sviluppo: vxLock. Usa, per la criptazione dei file sia l'algoritmo AES sia l'RSA.
 |
| Fonte: bleepingcomputer.com |
Come cripta i file
Abrams spiega che, al momento del test, il ransomware ha cancellato appunto tutti i file nelle cartelle, eccetto uno, come si può vedere nelle immagini sottostanti, prima e dopo la criptazione.
 |
| Fonte: bleepingcomputer.com |
Ulteriori analisi hanno permesso di comprendere come la cancellazione dei file non sia dovuta a qualche errore di programmazione del ransomware, ma sia del tutto intenzionale: vxCrypter tiene infatti sotto controllo gli hash SHA256 di ogni singolo file criptato, così che, incontrando uno stesso hash, elimina il file anzichè criptarlo.
 |
| Il codice mostra la cancellazione in base all'hash SHA256 |
Abrams specifica comunque che il ransomware cancella i file duplicati solo per alcune estensioni, che sono, ovviamente anche quelle bersaglio:
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .sqlite, .odt, .jpg, .jpeg, .bmp, .gif, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .xsd, .cpp, .c, .h, .hpp, .htm, .py, .reg, .rb, .pl, .zip, .rar, .tgz, .key, .jsp, .db, .sqlite3, .sqlitedb, .bat, .bak, .7z, .avi, .fla, .flv, .java, .mpeg, .pem, .wmv, .tar, .tgz, .tiff, .tif
Altri tipi di file come i .exe o le librerie .dll non subiscono invece la rimozione del duplicato.
Nessun commento:
Posta un commento