venerdì 24 maggio 2019

GetCrypt: risolvibile il ransomware che tenta il brute-forcing di credenziali


Qualche giorno fa è stato individuato dai ricercatori di Bleeping Computer un nuovo ransomware chiamato GetCrypt. Le analisi hanno svelato che questo ransomware si diffonde tramite campagne di malvertising che reindirizzano la vittima verso l'exploit kit RIG. Una volta che il ransomware è installato sul pc, i file finiscono criptati e compare la richiesta di riscatto. 

Il gioco è semplice: le vittime subiscono l'installazione del ransomware al momento in cui finiscono vittime di una campagna di malvertising chiamata Popcash, che cerca di convincere gli utenti a cliccare su link contenuti in email di spam. Il clic sul link reindirizza l'utente verso siti compromessi contenenti l'exploit kit RIG, che cerca e sfrutta alcune vulnerabilità di sistema piuttosto diffuse per ottenere l'accesso alla macchina.  Se l'exploit ha a successo su sistemi Windows, GetCryp viene immediatamente scaricato ed installato. 

Come cripta il computer
Vitali Kremez, ricercatore di sicurezza, ha analizzato approfonditamente il ransomware è scoperto interessanti funzionalità. Quando l'exploit kit esegue il ransomware, questo, per prima cosa, verifica le impostazioni di lingua di Windows: se queste sono impostate su ucraino, bielorusso, russo o kazaco, il ransomware si auto termina e la criptazione non avviene.

Fonte: bleepingcomputer.com

Oltre a ciò, GetCryp analizza la CPUID del computer e la usa per creare una stringa di 4 caratteri che sarà quindi usata come estensione per i file criptati. Quindi già in questa fase si occupa di cancellare le Shadow Volume Copies, eseguendo vssadmin.exe delete shadows /all /quiet, in maniera tale da impedire la possibilità di ripristinare il sistema. 

Il terzo passo è l'avvio della scansione della macchina in cerca di file da criptare. Cripterà tutti i tipi di file che incontra, fatta eccezione per quelli contenuti nelle seguenti cartelle:

:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Windows
:\Boot
:\System Volume Information
:\Recovery
AppData

Per la criptazione sono usati due diversi algoritmi: Salsa20 e RSA-4096. L'estensione di criptazione, che viene aggiunta dopo il nome originale del file (che non viene modificato) è di 4 caratteri. Segnaliamo che questo ransomware tenta la criptazione anche di tutti quei file contenuti nelle condivisioni di rete.

Fonte: bleepingcomputer.com

La nota di riscatto viene generata mentre la criptazione è ancora in corso: si chiama  # decrypt my files #.txt  e viene generata in formato testo in ogni cartella contenente file criptati e sul Desktop.  Contiene le informazioni per il pagamento del riscatto e l'email di contatto, che è getcrypt@cock.li. Sotto l'immagine contenente la nota di riscatto con la quale viene sostituito lo sfondo del Desktop. 

Fonte: bleepingcomputer.com

L'attacco di brute force
Durante la criptazione GetCrypt usa la funzione WNetEnumResourceW per produrre una lista delle condivisioni di rete disponibili. Se non riesce a connettesi, userà una lista incorporata di username e password per forzare l'accesso alle condivisioni di rete e per montarle usando la funzione WNetAddConnection2W. 

Fonte: bleepingcomputer.com

Ora, se non è affatto inusuale il tentativo da parte dei ransomware di criptare anche le condivisioni di rete non mappate, è invece la prima volta che si individua un malware che tenta il brute-forcing delle condivisioni di rete dal computer infetto. 

Il decryptor
Segnaliamo che è stato pubblicato un tool di decriptazione gratuito per questo ransomware, rintracciabile in questo articolo di Bleeping Computer, tramite il quale è possibile in alcuni casi recuperare i file criptati da questo ransomware. Se avete a disposizione una coppia di file criptato/file originale, potrete scaricare e utilizzare il tool con successo. 

Non possiamo garantire il recupero al 100% dei file criptati, ma questa è ad oggi l'unica soluzione al questo ransomware che non  preveda il pagamento del riscatto ai cyber attaccanti. 

Nessun commento:

Posta un commento