Breve aggiornamento settimanale su due importanti ransomware: possiamo infatti dichiarare concluso il corso di vita e attività di GandCrab, mentre torna a solcare la scena del cyber crime una vecchia conoscenza, il ransomware Ryuk.
1. GandCrab risolvibile: disponibile il tool di decriptazione.
Qualche giorno fa abbiamo appreso, ad opera degli sviluppatori stessi del ransomware, della sospensione dell'attività di GandCrab, uno dei ransomware di punta degli ultimi due anni. Ora c'è finalmente anche la possibilità di risolvere le versioni più recenti, ovvero le v. 5.0.4, v.5.1 e v.5.2.
Coloro che necessitano di assistenza per queste infezione possono scriverci all'email alessandro@nwkcloud.it inviandoci la nota di riscatto e due file criptati. I nostri tecnici procederanno al test per individuare la versione e per l'approntamento del tool di decriptazione.
Ulteriori informazioni su www.decryptolocker.it
Ulteriori informazioni su www.decryptolocker.it
2. Ryuk Ransomware: individuata nuova versione
E' stata individuata, già in uso in attacchi reali, una nuova variante del ransomware Ryuk, una vecchia conoscenza che latitava dalle scene da qualche tempo. La variante individuata è dotata di una particolare blacklist, dove sono inseriti indirizzi IP e computer che non subiranno alcuna criptazione nel caso in cui il ransomware dovesse riuscire ad entrare nel sistema.
Questa versione di Ryuk è particolarmente insidiosa perché contrassegnata da un certificato digitale valido, che ne rende assai complessa l'individuazione da parte di soluzioni antivirus non dotati di sistemi di individuazione comportamentale. Il ricercatore di sicurezza Vitali Kremez, che per primo ha individuato e analizzato un campione di questa nuova variante, ha specificato che vi sono alcune modifiche del tutto originali rispetto alle precedenti varianti. Ad esempio questa nuova variante, verifica l'output di arp -a in cerca di particolare stringhe di indirizzi IP: se trovati, il computer non verrà criptato. Le stringhe ricercate sono 10.30.4, 10.30.5, 10.30.6, or 10.31.32.
In aggiunta alla blacklist di indirizzi IP, il nuovo Ryuk compara il nome del computer con le stringhe "SPB", "Spb", "spb", "MSK", "Msk" e "msk": ugualmente, se il nome del computer contiene anche una sola di queste stringhe, il computer non verrà criptato. Probabilmente infatti MSK sta per Mosca, così come SPB potrebbe indicare San Pietroburgo.
Fonte: bleepingcomputer.com |
Difficile capire il perché di tali verifiche, probabilmente per evitare di criptare computer di utenti Russi, o almeno così ritiene il ricercatore Kremez. Il ransomware, comunque, come in precedenti versioni, continua a verificare le impostazioni di linguaggio del computer per escludere utenti russi, bielorussi e ucraini. Resta comunque possibile infettare i computer russi, spiega Kremez, via "worm", sfruttando cioè le vulnerabilità dell'SMB con exploit ome EternalRomance.
Per quanto riguarda l'Italia, Michele Risegari, brand manager di Seqrite Italia ed esperto IT, spiega che "le analisi svolte dal ransomware sui sistemi in cerca di particolari impostazioni linguistiche rendono l'idea che questo malware potrebbe essere pensato per colpire in Europa Occidentale e nelle americhe: una minaccia da tenere sotto controllo. I sistemi di individuazione comportamentale saranno fondamentali per contrastare questo ransomware, visto che reca un certificato digitale valido che rende complessa l'individuazione da parte di soluzioni antivirus prive di strumenti di analisi euristica."
Il meccanismo di criptazione
Se il computer passa tutta questa serie di verifiche, si avvierà il meccanismo di criptazione: l'estensione di criptazione, che viene aggiunta dopo il nome originale del file, è .RYK.
Il meccanismo di criptazione non ha invece subito alcuna modifica rispetto a versioni precedenti dello stesso malware. In ogni cartella contenente file criptati Ryuk crea la nota di riscatto RyukReadMe.html: questa contiene una frase "balance of shadow universe" e due indirizzi email di contatto tramite le quali ricevere le istruzioni di pagamento.
Le email di contatto sono sorcinacin@protonmail.com e neyhyretim@protonmail.com.
Al solito, consigliamo di non pagare il riscatto dato che non v'è alcuna assicurazione né che il decriptor dei cyber attaccanti funzioni né che questi rispondano.
Nessun commento:
Posta un commento