E' stato individuato, già in diffusione, un nuovo ransomware chiamato AgeLocker: deve il suo nome al tool di criptazione "Age", creato da un dipendente di Google. Dalle prime analisi infatti è emerso che, in ogni singolo file criptato, viene aggiunto un header testuale che inizia con l'URL 'age-encryption.org', come è possibile vedere nella foto sotto:
Questo URL porta a una repository GitHub che contiene una utility di criptazione chiama "Age": padre della utilità un esperto di criptazione italiano, dipendente di Google. Ovviamente il tool non è stato creato perchè fosse usato come strumento di cyber ricatto: il manuale di Age spiega chiaramente che il tool è pensato per sostituire GPG nella criptazione di file, backup e traffico. E' stato l'attaccante, per motivi non chiari, a creare un ransomware che invece di utilizzare i comuni algoritmi di criptazione come AES e RSA ha preferito usare Age. Age ha però un vantaggio (per l'attaccante): usa tre diversi algoritmi di criptazione ( X25519, ChaChar20-Poly1305 e HMAC-SHA256), cosa che rende la criptazione estremamente solida e sicura.
Durante la criptazione viene creata una estensione "personalizzata" con le iniziali della vittima e viene aggiunta al nome di ogni file criptato. Non viene però creata, come solitamente accade, la nota di riscatto.
La nota di riscatto arriva via email
Gli utenti (tutte aziende) che, per adesso, hanno subito e raccontato l'attacco hanno fatto sapere di non aver trovato alcuna nota di riscatto né nelle cartelle contenenti file criptati né sul desktop. La nota di riscatto è arrivata successivamente, tramite una email avente per oggetto "[nome azienda] security audit". Sotto il testo dell'email, che indica elenca anche il numero di dipositivi criptati: il riscatto richiesto è molto alto e ammonta a 7 Bitcoin (circa 64.500 dollari USA).
_________
Hello XXX and XXX,
Unfortunately a malware has infected your network and a millions of files has been encrypted using a hybrid encryption scheme. File names encrypted too.
Encrypted hosts are:
Storage:
1. XXX
2. XXX
3. XXX
4. XXX
5. XXX
Mac + external drives
1. XXX?
2. XXX?
3. XXX
4. XXX
5. XXX
6. XXX
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the tool(for mac and linux) that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.), file name shouldn't be changed.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss.
Note: we can answer up to 6-9 hours, because of another timezone."
_________
Attualmente il ransomware non ha soluzione e il creatore del tool Age non ha voluto rilasciare dichiarazioni utili.
Questi gli indicatori di compromissione forniti per adesso dal CSIRT
Questi gli indicatori di compromissione forniti per adesso dal CSIRT
SHA1
61d2603c5e68466367da88eef0e90431738da755
61d2603c5e68466367da88eef0e90431738da755
Nessun commento:
Posta un commento