Lawrence Abrams, ricercatore di sicurezza informatica ed esperto di rasnomware, ha individuato una nuova famiglia di ransomware (che per ora si "fregia" del solo capostipite) molto particolare: parliamo di vxCrypter, il primo ransomware che non cripta solo i dati delle vittime, ma "riordina" il computer infetto cancellando i file duplicati. Così, paradossalmente, il primo effetto di questo "trucchetto" è quello di migliorare le prestazioni del pc infetto, liberando spazio. Di contro però, diminuisce il tempo necessario al ransomware per criptare il pc.
Il ransomware è ancora in sviluppo, ma è la prima volta nella storia dei ransomware che il cyber attaccante si occupa anche di cancellare i file duplicati durante la routine di criptazione. vxCrypter è programmato in .NET, ma non è del tutto nuovo: si basa, riadattandolo e "ammodernandolo" su un vecchio ransomware, mai distribuito perchè non è mai terminata la fase di sviluppo: vxLock. Usa, per la criptazione dei file sia l'algoritmo AES sia l'RSA.
Fonte: bleepingcomputer.com |
Come cripta i file
Abrams spiega che, al momento del test, il ransomware ha cancellato appunto tutti i file nelle cartelle, eccetto uno, come si può vedere nelle immagini sottostanti, prima e dopo la criptazione.
Fonte: bleepingcomputer.com |
Ulteriori analisi hanno permesso di comprendere come la cancellazione dei file non sia dovuta a qualche errore di programmazione del ransomware, ma sia del tutto intenzionale: vxCrypter tiene infatti sotto controllo gli hash SHA256 di ogni singolo file criptato, così che, incontrando uno stesso hash, elimina il file anzichè criptarlo.
Il codice mostra la cancellazione in base all'hash SHA256 |
Abrams specifica comunque che il ransomware cancella i file duplicati solo per alcune estensioni, che sono, ovviamente anche quelle bersaglio:
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .sqlite, .odt, .jpg, .jpeg, .bmp, .gif, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .xsd, .cpp, .c, .h, .hpp, .htm, .py, .reg, .rb, .pl, .zip, .rar, .tgz, .key, .jsp, .db, .sqlite3, .sqlitedb, .bat, .bak, .7z, .avi, .fla, .flv, .java, .mpeg, .pem, .wmv, .tar, .tgz, .tiff, .tif
Altri tipi di file come i .exe o le librerie .dll non subiscono invece la rimozione del duplicato.
Nessun commento:
Posta un commento