giovedì 10 ottobre 2019

Rilevata nuova variante del ransomware FTCode: l'alert del Cert-PA


Il Cert-PA ha diramato nella giornata di ieri un nuovo alert riguardante il ransomware FTCode, il ransomware diffuso via PEC soltanto contro utenti italiani. Come specificato in precedenti approfondimenti, la versione in diffusione nelle scorse settimane era la stessa diffusa nel 2013 e scomparsa poi dai radar per ben sei anni. Le uniche, piccole modifiche riscontrate riguardavano soltanto comunicazioni aggiuntive con i server di comando e controllo, ma dimostrano comunque un'attività in corso da parte di qualche cyber attaccante sul codice. 

Ieri il Cert-PA ha confermato, segnalando la nuova variante, che c'è un investimento attivo da parte
di un cyber criminale o di un gruppo, su FTCode e sul suo codice. La nuova versione è ancora veicolata attraverso l'invio di email inviate da account PEC precedentemente compromesse. Sotto pubblichiamo una email vettore:

Fonte: https://www.cert-pa.it

Il codice presenta numerose parti di codice in comune, o esattamente identiche, con la versione del ransomware FTCode diffuso nelle scorse settimane: in particolare sono estremamente affini la funzione usata per la persistenza sul sistema, quella per la comunicazione con il server di comando e controllo, quella per l'esecuzione di comandi sulla macchina e l'intero algoritmo di criptazione del contenuto dei file. 

Le novità riscontrate sono:

1. crea un GUID (Globally Unique Identifier) univoco per la macchina infetta in un file di lavoro. Probabilmente tale meccanismo è affetto da bug, perchè l'identificativo viene generato ad ogni avvio;
2. i file sono rinominati con una estensione casuale, i primi 6 caratteri di un GUID;
3. le cartelle Windows, Temp, Recycle, Intel, OEM, Program Files e ProgramData non vengono criptate;
4. in caso di errore durante la criptazione di un file, o durante l'enumerazione degli stessi, l'errore viene riportato all'attaccante tramite comunicazione con server C&C;
5. la pagina HTML contenente la nota di riscatto non è in chiaro, ma è codificata in base64;
6. il file di lock, necessario per garantire una sola istanza del malware, è considerato non valido dopo 30 minuti. Questo evita che due processi si blocchino a vicenda (situazione di deadlock), ma anche la possibilità di usare il killswitch come protezione.  

Il file TMP interruttore: la nuova versione impedisce l'uso come scudo 
La precedente versione verifica la presenza del file C:\Users\Public\OracleKit\w00log03.tmp sulla macchina infetta prima di avviare la routine di criptazione. Qualora il file venga individuato, FTCode si arresta: la presenza di questo file indica infatti che la macchina è già stata attaccata dal ransomware, magari da una versione precedente. Un possibile "vaccino" contro questa infezione è quindi quella di creare questo file per far credere a FTCode di aver già infettato la macchina. La modifica nella versione attualmente in diffusione del file di lock, la cui "scadenza" è fissata a 30 minuti, rende inefficace questo meccanismo di protezione. 

Qualche informazione in più sul meccanismo di criptazione
FTcode verifica tutti i drive collegati alla macchina con almeno 50kb di spazio libero, quindi enumera i file criptabili, ovvero tutti i file con le seguenti estensioni (esclusi quelli presenti nelle cartelle menzionate in precedenza). 

.sql,.mp4,.7z,.rar,.m4a,.wma,.avi,.wmv,.csv,.d3dbsp,.zip,.sie,.sum,.ibank,.t13,.t12,.qdf,.gdb,.tax,.pkpass,.bc6,.bc7,.bkp,.qic,.bkf,.sidn,.sidd,.mddata,.itl,.itdb,.icxs,.hvpl,.hplg,.hkdb,.mdbackup,.syncdb,.gho,.cas,.svg,.map,.wmo,.itm,.sb,.fos,.mov,.vdf,.ztmp,.sis,.sid,.ncf,.menu,.layout,.dmp,.blob,.esm,.vcf,.vtf,.dazip,.fpk,.mlx,.kf,.iwd,.vpk,.tor,.psk,.rim,.w3x,.fsh,.ntl,.arch00,.lvl,.snx,.cfr,.ff,.vpp_pc,.lrf,.m2,.mcmeta,.vfs0,.mpqge,.kdb,.db0,.dba,.rofl,.hkx,.bar,.upk,.das,.iwi,.lite,.mod,.asset,.forge,.ltx,.bsa,.apk,.re4,.sav,.lbf,.slm,.bik,.epk,.rgss3a,.pak,.big,.wallet,.wotreplay,.xxx,.desc,.py,.m3u,.flv,.js,.css,.rb,.png,.jpeg,.txt,.p7c,.p7b,.p12,.pfx,.pem,.crt,.cer,.der,.x3f,.srw,.pef,.ptx,.r3d,.rw2,.rwl,.raw,.raf,.orf,.nrw,.mrwref,.mef,.erf,.kdc,.dcr,.cr2,.crw,.bay,.sr2,.srf,.arw,.3fr,.dng,.jpe,.jpg,.cdr,.indd,.ai,.eps,.pdf,.pdd,.psd,.dbf,.mdf,.wb2,.rtf,.wpd,.dxg,.xf,.dwg,.pst,.accdb,.mdb,.pptm,.pptx,.ppt,.xlk,.xlsb,.xlsm,.xlsx,.xls,.wps,.docm,.docx,.doc,.odb,.odc,.odm,.odp,.ods,.odt

Enumerati i file, FTCode cripta i primi 40960 byte di ogni file usando l'algoritmo di criptazione simmetrico AES / Rijndael". 

FtCode, insomma, è in sviluppo ed è molto probabile che ne vedremo circolare ancora nuove varianti: il giorno dopo l'avvio della distribuzione della versione 930.5, è stata individuata in diffusione la versione 1001.7. La versione approfondita in questo articolo è una ulteriore versione, messa anch'essa in diffusione in pochissimi giorni.

FTCode: riepilogo

1 commento:

  1. Se interessa ho analizzato e trovato la soluzione per recuperare i file infetti da una di queste versioni di FTCODE (BXCODE hack your system).
    Ho scritto un articolo abbastanza esplicativo: https://blog.aramx.com/recuperare-file-corrotti-dal-virus/

    RispondiElimina