Qualche settimana fa abbiamo parlato del ransomware che, come cryptolocker, cripta i documenti su PC e server e richiede un riscatto. A differenza di Cryptolocker, TorrentLocker o Cryptowall, questo ransomware non possiede una pagina dedicata sul dark web ove la vittima può connettersi e gestire il pagamento del riscatto. Questo trojan richiede che la vittima scriva una mail all’indirizzo “helpme@freespeechmail.org” o a indirizzi simili e comunichi direttamente con i criminali, che chiedono una cifra tra i 2 e i 5 bitcoin per il riscatto.

Kaspersky ha recentemente pubblicato un aggiornamento del suo strumento per rimozione/disinfezione e decifratura dei file criptati da alcuni tipi di ransomware, RakhniDecryptor, includendo anche la decryption dell’infezione da trojan “helpme@freespeechmail.org”, “fileok@inbox” e tanti altri.

Abbiamo testato personalmente il decryptor di Kaspersky e possiamo confermare che funziona, permettendo in buona parte dei casi di recuperare i file senza pagare il riscatto in bitcoin.

Il tool RakhniDecryptor è descritto in dettaglio nella pagina di Kaspersky [WBM] ed è scaricabile gratuitamente da questo link [WBM]. Una volta avviato dovrete scegliere se fargli cercare i documenti da decriptare nei dischi fissi, in quelli rimovibili e sui drive di rete. A differenza di Cryptolocker e gli altri ransomware di nuova generazione, in questo caso le estensioni dei file criptati sono note e il tool è in grado di cercarle.

Una volta selezionati i percorsi dove il decryptor deve cercare i documenti da decriptare, è necessario indicare al tool un file criptato dal ransomware, che verrà utilizzato per forzare la password di cifratura tramite brute force. Se non riuscite a selezionare il file, perché l’estensione non viene riconosciuta, copiate il nome e il percorso del file e incollatela nel campo “File name:”.

Una volta selezionato il file da decriptare tramite brute force, il decryptor ci ricorderà che l’attività di decryption tramite tentativi di forza bruta può necessitare di tempo, anche diversi giorni di lavoro. Da tenere presente che, se la chiave di cifratura è complessa, la decryption del ransomware tramite bruteforce potrebbe non concludersi mai.

Una volta partito, il tool di decryption esegue tentativi di brute force della password dei file criptati, informando l’utente del numero di tentativi fatti.

Una barra di avanzamento nel decryptor e un file di log informano l’utente del numero di tentativi che mancano alla fine del processo di brute force. Non è chiaro se il numero di tentativi è esaustivo o è un limite massimo oltre il quale lo strumento concluderà in ogni caso l’attività di decryption, anche se è presumibile la seconda possibilità, dato che è noto che in alcuni casi RakhniDecryptor di Kaspersky non è stato in grado di recuperare la password.

Dopo circa una giornata di tentativi di decryption, su un PC di media potenza, comparirà il messaggio “Password has been recovered successfully” e si avvierà il processo di decryption dei file criptati dal ransomware.

Pochi minuti dopo aver trovato la password, tutti i file criptati saranno nuovamente leggibili e sbloccati. In un caso, durante le nostre prove, il decryptor ha dichiarato di aver trovato la password di cifratura ma i file decriptati risultavano illeggibili. Negli altri casi invece lo strumento ha funzionato correttamente e i documenti sono stati sbloccati.

Il software Rakhni Decryptor è in grado di decriptare i documenti criptati dalle seguenti tipologie di locker (il testo è quello presente nel nome del file):

• sivtyfuh332kgayz.onion@mail.ru
• sapril2015@126.com
• crypt.india.com
• sos1506@163.com
• directorat1c@gmail.com
• cryptsb@gmail.com
• coderksu@gmail.com
• oplata@qq.com
• relock@qq,com
• helpdecrypt@ukr.net
• pizda@qq.com
• kozel@qq.com
• dyatel@qq.com
• nalog@qq.com
• kuzya@qq.com
• chifrator@qq.com
• gruzin@qq.com
• troyancoder@qq.com
• helpme@freespeechmail.org
• fileok@inbox.lv

Le estensioni dei file che RakhniDecryptor è in grado di tentare di decriptare tramite brute force sono le seguenti:

• .ecc
• .ezz
• .id-*
• .plague17
• .amba
• .bloked
• .hb15
• .enc
• .aes256
• .locked
• .nochance
• .darkness
• .oshit
• .encrypted
• .crypto
• .crypt
• .layerDecryptedKLR

L'articolo Come decriptare il ransomware helpme@freespeechmail.org sembra essere il primo su Ransomware Blog.

CryptInfinite o DecryptorMax è il ransomware per sistemi operativi Windows che, come Cryptolocker e i vari successori, cripta i documenti aggiungendo l’estensione “.CRINF” e chiede un riscatto tramite PayPal MyCash (non in bitcoin come per altri ransomware). Il trojan si diffonde tramite documenti Microsoft Word malevoli nei quali è stata inserita una macro offuscata e protetta da password che va a scaricare il payload infetto da un sito remoto.

Le vittime del ransomware CryptInfinate si ritrovano i documenti sul PC criptati e con l’estensione “.CRINF” aggiunta al nome dei file. Ogni cartella nella quale il ransomware ha criptato dei documenti conterrà anche un file chiamato “ReadDecryptFilesHere.txt” con le indicazioni su come pagare il riscatto. La nota lasciata dal delinquente spiega che la vittima ha 24 ore per inviare un codice voucher tramite PayPal MyCash agli indirizzi email dei ricattatori. Al momento, i ransomware contengono i seguenti indirizzi email:

• silasw9pa@yahoo.co.uk
• decryptor171@mail2tor.com
• decryptor171@scramble.io

Fortunatamente, Fabian Wosar dellaa Emisoft ha scoperto un baco nella cifratura eseguita dal ransomware che permette alle vittime di decriptare i documenti senza pagare il riscatto. Fabian ha sviluppato un decryptor, chiamato DecrptInfinite,  scaricabile dal sito web Emisoft a questo link oppure dalla WayBackMachine a questo link, che permette di recuperare i file criptati dal ransomwareCryptInfinite o DecryptorMax senza pagare il riscatto.

Per attivare la funzione di brute-force del decryptor è necessario possedere un file criptato di cui si ha a disposizione anche la versione in chiaro, cioè quella non criptata (es. recuperata da un backup, da un allegato email, da una pendrive). Nel caso in cui non si riesca a trovare una versione “pulita” di un file corrotto dal ransomware, si può cercare tra i file criptati un’immagine in formato PNG e passare, come file in chiaro, una qualunque immagine PNG non criptata (il software si basa sugli header e sul formato noto del PNG). Una volta indicati i file su cui eseguire il brute force, si dovrà indicare quale indirizzo email è stato lasciato dai delinquenti sul PC, tra silasw9pa@yahoo.co.uk, decryptor171@mail2tor.com e decryptor171@scramble.io. A questo punto, si avvierà il processo di decifratura che potrebbe richiedere del tempo ma porterà al ritrovamento della chiave con la quale sono stati criptati i file e permetterà alle vittime di recuperare i documenti.

Ulteriori informazioni su come decriptare i file criptati dal ransomware sono riportate nel topic di supporto presso Bleeping Computer, a questo link.

L'articolo Come decriptare il ransomware CryptInfinite o DecryptorMax sembra essere il primo su Ransomware Blog.

Attenzione, sabato 30 gennaio 2016 è stata lanciata una pesante campagna d’infezione tramite email con ransomware TeslaCrypt 3.0 verso utenti italiani. I file vengono criptati aggiungendo in coda le estensioni “.XXX”, “.TTT” e “.MICRO” e rispetto alle versioni di TeslaCrypt precedenti è cambiato il metodo con cui viene scambiata la chiave di cifratura. A differenza di alcune versioni di CryptoLocker e le vecchie versioni di TeslaCrypt, non sono al momento noti metodi per recuperare i propri documenti. BloodDolly, lo sviluppatore che ha prodotto un decryptor per le versioni precedenti di Teslacrypt sta lavorando alla ricerca di un antidoto anche per questa.

Alcune mail vettore contengono come oggetto il nome del mittente oppure la data d’invio e provengono da contatti noti. Non c’è testo nella mail, se non la data d’invio della mail riportata per esteso, talvolta identica a quella inserita nell’oggetto. Le mail hanno tutte un’allegato, consistente in un archivio ZIP che contiene un file con estensione “.JS”. ll file è no script in linguaggio javascript, il cui nome può essere del tipo “invoice_DjzkX0.js” o “invoice_scan_jWNWc3.js”. Lo script, se aperto, causa il download del vero e proprio trojan TeslaCrypt. IL javascript infatti implementa la funzione di dropper, cioè un malware finalizzato a scaricare il vero e propriotrojan, chiamato payload, che infetterà il PC.

Il codice del dropper (il “programma” contenuto nell’allegato ZIP che spesso si presenta come una finta fattura o una nota di credito) non è offuscato e mostra chiaramente la fonte da cui attinge per scaricare il trojan TeslaCrpyt 3.0 sul PC della vittima, infettarla e criptare i documenti. Per quanto pericoloso, il codice viene eseguito soltanto se si apre l’archivio ZIP (in genere cliccandovi sopra con il mouse) e si clicca sul file il cui nome termina con “.JS” al suo interno. La semplice apertura e visualizzazione del testo della mail – in questo caso – non causa l’infezione del PC.

Una volta criptati i documenti, il ransomware lascia un messaggio nelle cartelle dove risiedono i file codificati, chiamato “help_recover_instructions.BMP” e “help_recover_instructions.txt” come questo:

Il testo ove viene richiesto il riscatto in bitcoin è importante perché contiene il riferimento cui è legata la chiave privata necessaria per decriptare i documenti. Lo si trova all’interno dei file con le istruzioni lasciato dal ransomware sul PC e questo ne è un esempio:

__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!__!@#!@#!

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA-4096.
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA-4096 KEY, both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1. http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7
2. http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7
3. http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7
If for some reasons the addresses are not available, follow these steps:
1. Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: wbozgklno6x2vfrk.onion/72557C51ED3348E7
4. Follow the instructions on the site.

!!! IMPORTANT INFORMATION:
!!! Your personal pages:
http://q5ndhhtnk345urs.baungam.com/72557C51ED3348E7
http://y5bsdmnfb254fsh.nomaalkyl.com/72557C51ED3348E7
http://e3mvjm8fn5jfnks.gregorole.com/72557C51ED3348E7
!!! Your personal page in TOR Browser: wbozgklno6x2vfrk.onion/72557C51ED3348E7
!!! Your personal identification ID: 72557C51ED3348E7
——————————————————————————————————–

All’indirizzo segnalato dal ransomware si troverà una pagina che ricicla parte del codice e grafica CryptoWall e si presenta con uno sfondo blu e il solito testo che comunica l’indirizzo Bitcoin verso il quale eseguire il versamento e le condizioni di pagamento. Dalla stessa pagina, le vittime che pagano il riscatto scaricheranno decryptor, il software per decriptare i propri documenti.

Alcuni utenti hanno segnalato che, invece della pagina di richiesta del riscatto da pagare per decriptare i documenti, all’indirizzo visitato tramite Tor Browser compare la scritta “If login was unsuccessful few times in a row, please upload “recover_file_xxxxx.txt” file located in “My Documents” folder. If something is going wrong – please visit this site later, in 10-12 hours.“. Non è chiaro se il problema è che è stato interrotto il processo di encryption del ransomware o siano problemi lato server Command & Control.

In ogni caso, il consiglio per le vittime è ovviamente di non pagare il riscatto, che viene richiesto in bitcoin per una cifra iniziale di 500 dollari che raddoppia dopo alcuni giorni. Per essere certi di rimuovere l’infezione è preferibile ripulire e reinstallare il sistema, anche se diversi antivirus rilevano e sono in grado di rimuovere il trojan. Se siete già stati infettati, potete contattarci inviandoci un campione dell’infezione per finalità di studio utilizzando le indicazioni fornite nella pagina delle segnalazioni.

Il consiglio per chi riceve email con allegati ZIP, anche da contatti noti, è come al solito quello di non aprirli ed eventualmente contattare il mittente oppure caricare l’allegato su VirusTotal oppure VirScan per verificare se esistono antivirus che rilevano una potenziale minaccia.

Per chi volesse analizzare i campioni del ransomware TeslaCrypt 3.0 inviati durante questa campagna d’infezione o bloccare il sito da cui viene scaricato il payload, forniamo alcuni link:

DROPPER: invoice_DjzkX0.js

• https://www.virustotal.com/en/file/ea83f58ba3184f42673bfdff2518520b9691d7cb10451914edaef5e51abc6d50/analysis/1454144003
• https://malwr.com/analysis/ZGM4YWYyODgwMDYyNGU4NThhMGU3YmYyMTYwNGYwZTg
• https://www.hybrid-analysis.com/sample/ea83f58ba3184f42673bfdff2518520b9691d7cb10451914edaef5e51abc6d50?environmentId=4

PAYLOAD: 93.zip

• Viene scaricato dal dropper dai domini skuawill.com e skuawillbil.com, registrati tramite Key-Systems GmbH e WebNic, con record DNS A verso gli IP 191.101.251.155, 162.221.176.52, 173.82.74.197 e 37.123.101.74
• https://www.virustotal.com/en/file/0d036a5f5d6b64b64ddee327c8a5c02ce5a8a9ebef46419a65e58884e093aea3/analysis/
• https://malwr.com/analysis/MGI5ZWJiY2YwZDY2NDY5OWJkYzZmNWE5ZTU4MTM2YjM/
• https://www.hybrid-analysis.com/sample/0d036a5f5d6b64b64ddee327c8a5c02ce5a8a9ebef46419a65e58884e093aea3?environmentId=1

Update (7 febbraio 2016)

E’ stata segnalata una ondata precedente, lanciata il 22 gennaio (esempio di subject della contenente il dropper “1_22_2016 6_20_53 PM”) che scarica i payload dai seguenti domini:

• piglyeleutqq.com
• skuawillbeh.com

Update (9 febbraio 2016)

Sembra che alcuni utenti senza privilegi amministrativi siano riusciti ad evitare che il trojan cancellasse le shadow copy non confermando la richiesta di eliminazione delle copie shadow del volume Microsoft. TeslaCrypt tenta infatti di lanciare, con privilegi amministrativi, il tool “c:\Windows\System32\vssadmin.exe delete shadows /all /Quiet” chiedendo all’utente di eseguire il comando come amministratore con la domanda “Consentire al programma seguente di apportare modifiche al computer?“.

Non consentendo la cancellazione delle shadow copies, si permette il recupero (quando queste sono presenti e per le cartelle per le quali sono attive) anche dopo la cifratura dei file.

Update (11 febbraio 2016)

Diversi utenti segnalano – probabilmente per aver interrotto la fase di encryption del ransomware staccando i cavi di rete e la connettività Internet – di non riuscire ad accedere alla pagina Onion segnalata nel file help_recover_instructions.TXT. Tale pagina serve per pagare il riscatto – cosa che ovviamente sconsigliamo – e per decriptare un file come prova del possesso della chiave da parte del sistema. Diversi utenti ottengono infatti il messaggio: “If login was unsuccessful few times in a row, please upload “recover_file_xxxxx.txt” file located in “My Documents” folder. If something is going wrong – please visit this site later, in 10-12 hours“.

Alcuni utenti sono riusciti a trovare il file recover_file.txt e caricarlo in upload sul server, altri non sono riusciti a verificare dove si trova il file recover_file.txt. Il file “recover_file.txt” nella versione TeslaCrypt 3.0 sembra contenere i seguenti parametri:

• 1 linea: Indirizzo Bitcoin su cui viene richiesto di pagare il riscatto (Bitcoin Address)
• 2 linea: Chiave pubblica (PublicKey)
• 3 linea: Identificativo della vittima del ransomware (IDhex)
• 4 linea: Identificativo ID del payload utilizzato (kryptik/injector)

L'articolo Nuova ondata di ransomware Teslacrypt 3.0 sembra essere il primo su Ransomware Blog.

Sta diffondendosi in questi giorni una nuova variante del ransomware CTB-Locker che, invece di criptare i documenti degli utenti sui PC infettati, blocca i file dei siti web mettendoli letteralmente offline. Questa variante di di CTB-Locker è stata identificata da Benkow Wokned che ne ha pubblicato il codice, cifra i dati del sito web con algoritmo AES256 e chiede un riscatto di 0.4 bitcoin per poter ripristinare il sito. Questo il testo del messaggio con la richiesta di riscatto:

Your personal files are encrypted by CTB-Locker. Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site. Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.

Non è ancora noto come il trojan infetti i siti web, sembra però che possa sfruttare vulnerabilità di CMS come WordPress o Joomla, spesso oggetto di attacco da parte dei bot. Una volta ottenuto l’accesso alla root del webserver, il ransomware rinomina i file index.php o index.htm originali in original_index.php o original_index.html sostituendosi quindi al sito web che mostrerà questa schermata ai visitatori:

Interessante notare come nel messaggio di estorsione i ricattatori precisino che “Fbi’s advice on cryptolocker just pay the ransom“, cioè che l’FBI stessa ha consigliato di pagare il riscatto, linkando la pagina su SecurityLedger che cita la dichiarazione del Bureau. Sempre sul sito infettato dal ransomware, i delinquenti forniscono una chat per poter ricevere assistenza per pagare il riscatto:

Come ormai abitudine per i vari trojan come Cryptolocker, CTB-Locker, TeslaCrypt e simili, viene offerta anche la possibilità di decriptare due file di test, per provare che il sistema di decifratura funziona.

Sono stati colpiti già numerosi siti, dei quali un buon numero è stato già ripulito, probabilmente ripristinando i backup perché dai rilevamenti effettuati in mattinata (tanto per citarne alcuni, tra le decine di siti infetti esaminati questo, questo o questo) sugli indirizzi bitcoin utilizzati per la richiesta di riscatto non vi sono versamenti ma i siti infetti sono online. Per chi vuole fare attività di bitcoin intelligence, qui alcuni degli indirizzi utilizzati per la richiesta del riscatto:

1E5dZia1vENYH415zP27JgEmGJrxChchfe
19friMBWk12vcNv4tGWNvAJxXANxyPkQQ9
1EYzYEubQVTwP8HDrKD1UoNyh2iN9ztPv2
1PzQWLn4M9cEXaUPUCG9tgDjjKjZrLC2Lm
1AfkVoEqmSZPEXCiocBfCvHjykJR7gBaDW
1MkPWEdqntNoqugansqqRycZJjYXNwvhEQ
16KS5xi8kVkPFrebjs1TvHQRwhTdjHBk2L
1FyKHYP1QG7F29YDjg3Psp2B8RQ3oW2pnB
17fAjX5nEjudfLFaw2NVa5o97VTiFEUjzK
1FkuAHg2tYS7Erfa5yKFwcK5XBaTc5vRWN
1HUXsxzgsgbaExW9swRwvjviCcXJ8xwv9R
1NPLPibRn8JdJ78iRNuogi6b1vUayAyK3u
1BFohsWeZ9Q2FfXMUudwEFyX6xiMKYzwxK
18XwtQDdusTWDefVKLSxMEHWWPScrciHF4
12p5Uayeq9MEf5iHNEMSZsAK8B9Qpyr5G7
15XQLB5A9ZFZcEdRig1jVTURKfaRtBBw8E
1A2PWyBm3rQF5hFuCJVAFqz4J56yqZufH1
1FkuAHg2tYS7Erfa5yKFwcK5XBaTc5vRWN
13XbevX9evzVFiFihirgAZfjucjdQvx8yV
19skZcRBo4Xomqv4wdmjNRow3zck1AvKAK
1Kj9TX2fTK2RwjdX5ZFBuwr5pBP5YRUydu
1CDDnDMMCrpYCvkAeouAsBNGBDW2bUhB67

Per farsi un’idea di quanti siano i siti infettati da CTB-Locker basta utilizzare Google con una parte del messaggio della richiesta di riscatto, “For decrypt your files you need to make a few simple steps“, caratteristica di CTB-Locker. Come si nota dal numero di siti indicizzati, il numero di siti infettati è in rapido aumento, soltanto durante la scrittura del presente post i risultati sono saliti da 500 a 700.

Per chi fosse interessato a visionare un sito compromesso, al momento sono ancor attivi, tra i centinaia segnalati, l’italiano www.klingenberg.it [copia su archive.is] o www.staygray.com [copia su archive.is].

Non sono noti al momento sistemi per decriptare i file cifrati da CTB-Locker per siti web, aspettiamo con fiducia che i ricercatori che stanno lavorandoci scoprano qualche vulnerabilità che permetta di recuperare la chiave e ripristinare il sito web infetto.

La prevenzione, come in tutti i casi di ransomware, è la migliore soluzione e consiste nel fare frequenti backup del proprio sito web, ovviamente non sulla propria area web (almeno non in quella accessibile via PHP dal webserver). Per CMS come WordPress, un consiglio può essere quello di utilizzare il plugin BackWpUP, che permette di eseguire copie di sicurezza anche giornaliere su cloud come Dropbox, Google Drive, Amazon S3, Microsoft Azure, RackSpace, SugarSync ma anche FTP, così da poter ripristinare i file del proprio sito web in caso d’infezione da parte di ransomware.

L'articolo CTB-Locker cripta i siti web e chiede il riscatto sembra essere il primo su Ransomware Blog.

Lunedì 29 febbraio 2016 alle 20.30 presso l’Incubatore Fintech SellaLab di Torino si terrà un incontro sul tema Ransomware e Bitcoin nei locali di Rinascimenti Sociali, Via Maria Vittoria, 38, Torino.

Relatori

I relatori dell’incontro sui cryptovirus saranno Paolo Dal Checco (Studio Di.Fo.B. di Torino) e Vincenzo Agui (Sellalab, Helperbit, Coinsecurity, @Bitcoin_Plaza)

Programma

L’intervento focalizzerà l’attenzione sul crescente fenomeno dei ransomware, malware che cifrano il contenuto dell’hard disk e che chiedono un riscatto per decifrarne il contenuto, che sta assumendo negli ultimi tempi proporzioni preoccupanti anche in Italia. Nelle loro versioni più recenti (es. Cryptolocker, TeslaCrypt, CryptoWall, CTB-Locker, Locky) questi trojan si sono adeguati al progresso tecnologico accettando anche (o soltanto) come forma di pagamento del riscatto la criptovaluta Bitcoin. Detti anche cryptovirus, questo tipo di virus (tecnicamente si tratta in realtà di trojan) sono ormai diventati una minaccia per diverse nazioni, con centinaia di migliaia di vittime infettate che spesso hanno pagato il riscatto per rientrare in possesso dei propri documenti.

Si cercherà di inquadrare il fenomeno in tutte le sue varianti, il ruolo di Bitcoin e delle cryptovalute nell’ecosistema dei ransomware, approfondendo le tecniche per decriptare i file codificati da alcuni ransomware e le tecniche di difesa ed immunizzazione.

Terminato l’intervento sui cryptovirus, si discuterà degli aggiornamenti sulle ultime novità a tema Bitcoin e Blockchain, con approfondimenti tecnici e scambio di opinioni su tutto ciò che riguarda l’argomento.

Durante la serata verranno riservati degli spazi per il networking libero e slot per presentazioni frontali per progetti di ricerca e sviluppo da parte di esponenti della community (per chi volesse inserirsi con proprio progetto/idea è pregato di contattate per tempo gli organizzatori).

Giorno, Ora e Luogo

Lunedì 29 febbraio 2016 alle 20.30 presso l’Incubatore Fintech SellaLab di Torino, all’interno dei locali di Rinascimenti Sociali, Via Maria Vittoria, 38, Torino.

Link utili

• Gruppo “Bitcoin Meetup Torino” sulla piattaforma Meetup
• Link all’evento sulla piattaforma Meetup
• Thread dei Bitcoin Meetup a Torino sul forum BitcoinTalk

L'articolo Incontro su Ransomware e Bitcoin al SellaLab di Torino sembra essere il primo su Ransomware Blog.

Da alcuni giorni si sta diffondendo a macchia d’olio l’infezione di un nuovo ransomware, Locky, che rispetto ai suo predecessori cripta anche i nomi dei file e si diffonde verso condivisioni di rete anche se non mappate sul sistema. Il cryptovirus si diffonde tramite email di phishing o spam, contenenti allegati documenti Office con macro infette. Le macro attivano il download del trojan che, una volta attivato, cripta i documenti presenti sul computer della vittima, così come i vari Cryptolocker, CTB-Locker o Teslacrypt.

Una volta criptati i documenti, il cryptovirus Locky lascia sul Desktop e nelle cartelle dove ha cifrato dei documenti il file “_Locky_recover_instructions.txt”, contenente questo testo:

!!! INFORMAZIONI IMPORTANTI!!!!

Tutti i tuoi file sono stati criptati con algoritmo asimettrico RSA-2048 e algoritmo simmetrico AES-128.
Ulteriori informazioni sugli algoritmi sono disponibili su:
http://it.wikipedia.org/wiki/RSA
http://it.wikipedia.org/wiki/Advanced_Encryption_Standard

La decriptazione dei tuoi file è possibile solo con la chiave privata e il programma di
decriptazione che si trova sul nostro server segreto.
Per ricevere la tua chiave privata vai a uno dei seguenti link:
1. http://6dtxgqam4crv6rr6.tor2web.org/32C0D883E1644D0A
2. http://6dtxgqam4crv6rr6.onion.to/32C0D883E1644D0A
3. http://6dtxgqam4crv6rr6.onion.cab/32C0D883E1644D0A
4. http://6dtxgqam4crv6rr6.onion.link/32C0D883E1644D0A

Se nessuno dei precedenti indirizzi è disponibile, segui i passaggi successivi:
1. Scarica e installa Tor Browser: https://www.torproject.org/download/download-easy.html
2. Dopo la corretta installazione, avvia il browser e attendi l’inizializzazione.
3. Nella barra degli indirizzi digita: 6dtxgqam4crv6rr6.onion/32C0D883E1644D0A
4. Segui le istruzioni a video.

!!! Il tuo numero d’identificazione personale è:32C0D883E1644D0A !!!

Connettendosi tramite Tor Browser all’indirizzo ONION indicato nel messaggio di testo, compare una schermata dove si legge che viene richiesto 0.5 bitcoin per ottenere il “software speciale Locky Decryptor”.

Locky Decryptor™

We present a special software – Locky Decryptor™ –
which allows to decrypt and return control to all your encrypted files.

How to buy Locky Decryptor™?
You can make a payment with BitCoins, there are many methods to get them.
You should register BitCoin wallet:
Simplest online wallet or Some other methods of creating wallet
Purchasing Bitcoins, although it’s not yet easy to buy bitcoins, it’s getting simpler every day.
Here are our recommendations:
localbitcoins.com (WU) Buy Bitcoins with Western Union.
coincafe.com Recommended for fast, simple service.
Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
btcdirect.eu The best for Europe.
bitquick.co Buy Bitcoins instantly for cash.
howtobuybitcoins.info An international directory of bitcoin exchanges.
cashintocoins.com Bitcoin for cash.
coinjar.com CoinJar allows direct bitcoin purchases on their site.
anxpro.com
bittylicious.com
Send 0.5 BTC to Bitcoin address:
Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient…
Date Amount BTC Transaction ID Confirmations
not found
Refresh the page and download decryptor.
When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.

Il trojan Locky cancella le shadow copy per non lasciare alla vittima la possibilità di recuperare i dati criptati, tramite il comando “vssadmin.exe Delete Shadows /All /Quiet”

Un’analisi del malware Locky è riportata su Hybrid Analysis e Malwr.

Per ulteriori informazioni, consultare i seguenti link:

• https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
• https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
• https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more
• https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26383/en_US/McAfee_Labs_Threat_Advisory-Ransomware-Locky.pdf
• http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/
• http://www.bleepingcomputer.com/forums/t/605607/locky-ransomware-support-and-help-topic/

L'articolo Locky cripta anche i nomi dei file e le share di rete non mappate sembra essere il primo su Ransomware Blog.

Non si tratta di ransomware ma vale la pena mettere in guardia i lettori da questa minaccia, altrettanto pericolosa. In questi giorni sta girando una mail di phishing preparata con qualità certosina e su dominio italiano- quindi molto pericolosa – che sembra provenire da “Banca d’Italia – Registrazione F.I.T.D [mailto:fitd@bancaditalia.it]” con oggetto “IMPORTANTE! – Istanza di registrazione al FONDO INTERBANCARIO DI TUTELA DEI DEPOSITI” e contenuto che parla di una istanza di registrazione al Fondo Interbancario di Tutela dei Depositi. Il testo della mail di phishing è scritto in italiano corretto e sembra ben fatto, non è stato prelevato da siti web ma probabilmente scritto direttamente dai delinquenti, tanto che risulta facile ritenerla originale:

ISTANZA DI REGISTRAZIONE AL FONDO INTERBANCARIO DI TUTELA DEI DEPOSITI

Alla Vostra Cortese attenzione,

dopo i recenti fatti che hanno visto coinvole alcune banche italiane con la conseguente perdita di ingenti capitali da parte dei risparmiatori, la Banca d’Italia ha reso obbligatoria l’iscrizione al F.I.T.D (Fondo Interbancario di Tutela dei Depositi).

– Cosa e’ il F.I.T.D

Il F.I.T.D e’ un fondo compartecipato dalle banche Italiane, riconosciuto e gestito dalla Banca d’Italia, costituito con lo scopo di fornire una tutela sui soldi dei risparmiatori depositati nelle banche con sede in Italia. Esso costituisce un’assicurazione per i risparmiatori in caso di fallimento o inadempienza da parte della banca, con copertura del 100% del capitale depositato. Pertanto, nel caso in cui la Vostra banca dovesse fallire, don l’iscrizione al F.I.T.D avrete la sicurezza di recuperare l’intero capitale depositato in banca. Dal 15 Settembre 2015, l’iscrizione al F.I.T.D e’ stata resa obbligatoria per tutti i nuovi clienti delle banche Italiane e viene processata automaticamente al momento dell’emissione della Carta di Credito da parte della banca; per tutte le carte di credito emesse prima di tale data, la registrazione deve essere effettuata dal possessore compilando il modulo di Trasmissione Telematica dei Dati della banca d’Italia.
L’iscrizione al F.I.T.D e’ totalmente GRATUITA e NON PREVEDE ALCUN COSTO aggiuntivo alle spese di gestione del vostro conto corrente.

– Come registrarsi al Fondo Interbancario di Tutela dei Depositi

Per registrarsi al F.I.T.D vi bastera’ compilare online(non e’ necessario l’invio di alcuna documentazione) il modulo di Trasmissione Telematica dei Dati sviluppato da Sogei S.p.A, azienda Italiana leader nel settore della trasmissione sicura di dati sensibili, che da anni si occupa di fornire strumenti telematici per la Pubblica Amministrazione.
Dovrete compilare il modulo online con i dati richiesti ed inviarlo tramite l’apposito pulsante; l’operazione richiede circa 10-15 minuti. Il modulo verra’ inoltrato automaticamente alla Banca d’Italia che provvedera’ a verificare i dati da voi inseriti e a procedere automaticamente all’iscrizione al F.I.T.D. Verrete contattati entro 48 ore soltanto se la registrazione NON e’ andata a buon fine.

Per compilare il modulo vi bastera’ cliccare sul link sottostante e inserire, nella pagina in cui verrete reindirizzati il Codice di Registrazione fornito.

CODICE DI REGISTRAZIONE: BCA254W8842 

MODULO DI TRASMISSIONE TELEMATICA DEI DATI

La mail indirizza le vittime su una pagina interna [WBM] del sito www.sogei-spa.it (tra l’altro disponibile anche su https) che mostra una pagina di benvenuto al sistema di Trasmissione Telematica dei Dati di Sogei S.p.A.:

Inserendo il codice ricevuto via mail (in realtà qualunque codice viene accettato) si ottiene una pagina che comunica alla vittima che sono in corso le verifiche sul codice inserito, per dare l’impressione di un controllo istituzionale.

si ottiene la pagina per la “registrazione al sistema di trasmissione telematica dei dati”:

Il testo della pagina di phishing è scritto anch’esso in italiano corretto e i dati richiesti sono decisamente rilevanti e permettono sia il furto del denaro contenuto nella carta di credito inserita (viene richiesto numero, scadenza, codice CVV e persino il token di autorizzazione) sia il furto d’identità (viene richiesto un documento con i dettagli identificativi):

Completi il modulo di registrazione al “Fondo Interbancario di Tutela dei Depositi” con i dati richiesti.
DATI ANAGRAFICI
Nome*: Cognome*: Data di nascita (gg/mm/aa)*: Indirizzo*:
Provincia*: Citta’*: CAP*: Stato*:
Numero di telefono*: Indirizzo email:
DOCUMENTO DI RICONOSCIMENTO DATI CARTA DI CREDITO
Tipo documento*: Numero documento*: Numero carta*: Data di scadenza*:
Data di rilascio*: Data di scadenza*: CVV (Tre cifre sul retro della carta)*:
Codice Fiscale*: Cognome da nubile della madre*:
Dal 2008 tutte le banche hanno adottado, per le carte di credito Visa e Mastercard, il protocollo di autenticazione a due fattori 3D-Secure denominato rispettivamente “Verified by Visa” e “Mastercard Secure Code”. Tale protocollo puo’ essere attivo in tre modalita’ differenti: “Token”(generatore di codici casuali ogni 60 secondi), “OTP via sms”(password casuale e univoca inviata via sms ogni volta che si deve effettuare un’operazione), “Password”(password scelta dal titolare della carta). Se la sua carta partecipa al protocollo 3D-Secure selezioni il riquadro sottostante e scelga, dall’apposito menu’ a tendina, il tipo di autenticazione di cui dispone. Nel caso in cui disponga di autenticazione tramite “Password”, scriva la relativa password nello spazio apposito, negli altri 2 casi (“Token”, “OTP via sms”) si prega di lasciare il campo password vuoto.

Cliccando su “INVIA DATI” autorizza Sogei SpA al trattamento dei dati personali secondo la Legge n.196 del 30 Giugno 2003 vigente in materia.

Al termine della compilazione, compare un messaggio di conferma dell’invio dei dati e si viene rediretti sul sito ufficiale di Sogei.

E’ impressionante la qualità con la quale è stato preparato questo phishing, si noti ad esempio che è stato inserito persino un documento PDF con informativa sulla privacy [WBM] che dai metadati risulta essere stato creato con “OpenOffice.org 3.3” in data “2016:02:15 17:54:17+01:00”, quindi diversi giorni fa.

Il dominio sogei-spa.it è stato registrato tre giorni fa presso “One.com” e risulta intestato a un tale “Xxxx Xxxxxx, Xxx X.Xxxxxxx X, Xxxxxxxxx xxxx xxxxxxx, xxxxxx, xx, XX”  [aggiornamento del 9 marzo 2016] una persona che dichiara di aver subito furto d’identità e della quale quindi – per cortesia nei suoi confronti – non riportiamo i dati:

Domain: sogei-spa.it
Status: ok
Created: 2016-02-29 21:03:29
Last Update: 2016-02-29 21:03:30
Expire Date: 2017-02-28

Registrant
Organization: Xxxx Xxxxxx
Address: Xxx X.Xxxxxxx X
Xxxxxxxxx xxxxx xxxxxxx
xxxxx
XX
XX
Created: 2016-02-29 21:03:27
Last Update: 2016-02-29 21:03:27

Admin Contact
Name: Xxxx Xxxxxx
Organization: Xxxx Xxxxxx
Address: Xxx X.Xxxxxxx X
Xxxxxxxxx xxxxx xxxxxxx
xxxxx
XX
XX
Created: 2016-02-29 21:03:27
Last Update: 2016-02-29 21:03:27

Technical Contacts
Name: Jacob Jensen
Organization: One.com
Address: Kalvebod Brygge 45
Copenhagen V
1560
Copenhagen
DK
Created: 2015-02-09 02:04:10
Last Update: 2015-02-09 02:04:10

Registrar
Organization: Ascio Technologies Inc.
Name: ASCIO-REG
Web: http://www.groupnbt.com

Nameservers
ns01.one.com
ns02.one.com

Sul sito Robtex si trovano alcune informazioni interessanti su dominio e indirizzo IP [WBM] come name server, server MX e simili. L’indirizzo IP su cui è ospitato il sito web è 46.30.211.223 e risulta essere anch’esso registrato a One.com:

inetnum: 46.30.208.0 – 46.30.215.255
netname: DK-ONECOM-20100908
descr: One.com A/S
country: DK
org: ORG-OA356-RIPE
admin-c: OC1207-RIPE
tech-c: OC1207-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: onecom-mnt
mnt-routes: onecom-mnt
created: 2010-09-08T08:58:01Z
last-modified: 2010-09-08T08:58:01Z
source: RIPE # Filtered

Per capire quando è stata preparata la pagina di phishing, possiamo basarci su un trucco: richiedere al web server una risorsa statica (es. una immagine) e leggere negli gli header http la data che ci restituisce. Se proviamo ad aprire l’immagine con il logo Sogei [WBM] otteniamo i seguenti header HTTP, che ci informano che l’immagine è stata caricata ieri, 2 marzo 2016, alle ore 03:33:21 GMT.

Date: Thu, 03 Mar 2016 15:07:06 GMT
Server: Apache
Last-Modified: Wed, 02 Mar 2016 03:33:21 GMT
Etag: “c0a47c0e-1068a-52d088b2de1ba”
Content-Length: 67210
Content-Type: image/png
X-Varnish: 61974407 270468404
Age: 1834
Via: 1.1 varnish-v4
Accept-Ranges: bytes
Connection: keep-alive

Fortunatamente già in giornata il dominio sogei-spa.it è entrato nella blacklist di Google Safe Browsing e Avast Online Security, così da ridurre in modo notevole le vittime fino a che il dominio e l’hosting non sarà disabilitato.

Procederemo ora ad avvisare Sogei e l’hosting One.com per chiedere la chiusura del sito di phishing, chi avesse maggiori informazioni è libero di commentare e contribuire con le sue idee. Ringrazio infine l’amico Stefano Capaccioli per la segnalazione di questo raffinato phishing Sogei Banca d’Italia a danno degli utenti italiani.

Update ore 22:05

Il sito di phishing è giù da pochi minuti.

L'articolo Attenzione al Phishing Sogei Banca d’Italia sembra essere il primo su Ransomware Blog.

Uno dei primi ransomware per Mac OS X è stato scovato all’interno di un programma per scaricare file dalla rete BitTorrent, chiamato Transmission. La notizia è stata pubblicata sul sito transmissionbt.com che avvisa gli utenti che nella versione 2.90 del software è stato rilevato un malware chiamato KeRanger, con le caratteristiche di un ransomware, in grado quindi di criptare i documenti degli utenti e chiedere un riscatto in bitcoin. I ricercatori che hanno analizzato il ransomware hanno rilevato che il trojan contiene una routine che tenta di cancellare i backup dalla Time Machine per impedire alle vittime di recuperare i file criptati ma al momento non ha effetto. A differenza di altri ransomware, KeRanger per Mac OS X fornisce alle vittime un sistema di ticketing online con il quale chiedere assistenza  ed essere guidati nel pagamento del riscatto in bitcoin.

Il consiglio che viene dato dal sito è quello di utilizzare la funzione di Monitor dell’Attività del computer – presente sui Macintosh OS X – per verificare se vi sono processi con il nome di “kernel_services” in esecuzione. In caso positivo, controllare se il processo è legato a un file chiamato “/Users//Library/kernel_service” ed eliminarlo utilizzando il comando d’interruzione dei processi di Mac OS X.

Everyone running 2.90 on OS X should immediately upgrade to 2.91 or delete their copy of 2.90, as they may have downloaded a malware-infected file.

Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users//Library/kernel_service”. If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”

Il ransomware per Mac OS cripta i documenti del malcapitato aggiungendo l’estensione “.encrypted” e lascia sul sistema infetto un file chiamato “README_FOR_DECRYPT.txt” dove viene richiesto il pagamento di un bitcoin, con le indicazioni dell’indirizzo onion su rete Tor dove accedere al portale per scaricare il decryptor una volta eseguito il pagamento. Si noti che per identificare la vittima viene utilizzato l’indirizzo bitcoin sul quale viene richiesto il pagamento.

Your computer has been locked and all your files has been encrypted with 2048-bit RSA encryption.
Instruction for decrypt:

1. Go to http://fiwf4kwysm44dpw5l.onion.to ( IF NOT WORKING JUST DOWNLOAD TOR BROWSER AND OPEN THIS LINK: http://fiwf4kwysm44dpw5l.onion.to
2. Use 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof as your ID for authentication
3. Pay 1 BTC (~407.47$) for decryption pack using bitcoins (wallet is your ID for authentication)
4. Download decrypt pack and run.

–→ Also at http://fiwf4kwysm4dpw5l.onion.to you can decrypt 1 files for FREE to make sure decryption is working.

Also we have ticket system inside, so if you have any questions – you are welcome.
We will answer only if you are able to pay and you have serious question.

IMPORTANT: WE ARE ACCEPT ONLY(!!) BITCOINS
HOW TO BUY BITCOINS:
http://localbitcoins.com/guides/how-to-buy-bitcoins
http://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

All’indirizzo indicato nella richiesta di riscatto del ransomware si trova una pagina ONION – da visitare tramite il browser Tor Broser – che oltre a permettere il download del decryptor una volta pagato il riscatto permette di aprire ticket di assistenza, accedere all’area FAQ o decriptare un file di prova. Nell’immagine che segue, si notano ticket aperti da visitatori del forum di Palo Alto Network che hanno acceduto al portale con l’indirizzo bitcoin 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof (per il quale, tra l’altro, nessuno ha pagato il riscatto in bitcoin).

Il centro di ricerca Palo Alto Networks ha pubblicato alcuni dettagli tecnici sul malware per Macintosh, incluse le parti di codice che sembrano contenere istruzioni per cancellare i backup della time machine, contenute nella funzione “encrypt_timemachine”. Anche se la versione del ransomware veicolata tramite il software Transmission non cripta la Time Machine, non è escluso che le versioni successive, veicolate magari tramite altri software, non lo facciano. E’ quindi bene non tenere il disco contenente la Time Machine collegato al Mac dopo il termine della fase di backup, in modo da poterlo utilizzare nel caso in cui il Mac risultasse infettato da ransomware.

Per chi fosse intenzionato a scaricare il client BitTorrent Transmission, sembra che la versione 2.92 del client Transmission sia in grado di rimuovere il ransomware installato dalla 2.90 e ovviamente gli sviluppatori abbiano verificato non contenere trojan.

Cosa fare se si è infettati

1) Utilizzando Terminal oppure FInder, controllare se i seguenti file esistono:

• /Applications/Transmission.app/Contents/Resources/ General.rtf
• /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf

Se esistono, si ha la conferma che il software “Transmission” è infetto e quindi per cominciare rimuovere la App dal sistema.

2) Utilizzando il tool “Monitoraggio Attività” (“Activity Monitor” nella versione inglese) preinstallato su OS X controllare se esiste un processo chiamato “kernel_service”. Se esiste, fare doppio click sul nome e selezionare la voce “Porte e File Aperti”, verificando se esiste un file con il nome simile a “/Users/<username>/Library/kernel_service”” Se esiste, si tratta del processo principale di KeRanger, suggeriamo quindi di interrompere il processo utilizzando al funzione “Interrompi” (“Quit” nella versione inglese”.

3) Verificare se nella cartella “~/Library” dell’utente esistono i seguenti file:

• “.kernel_pid”
• “.kernel_time”
• “.kernel_complete”
• “kernel_service”

Se esistono, rimuoverli.

Sample

Chi desidera testare l’infezione da ransomware per Mac OS X KeRanger può scaricare il file avente SHA256 d1ac55a4e610380f0ab239fcc1c5f5a42722e8ee1554cba8074bbae4a5f6dbe1 dal sito Malwr, previa registrazione e visualizzare l’analisi antivirus e antispyware eseguita da VirusTotal.

Il trojan si annida nel file “Genral.rtf” contenuto nella App Transmission. Il file “General.rtf”, avente hash SHA25631b6adb633cff2a0f34cefd2a218097f3a9a8176c9363cc70fe41fe02af810b9, non è un documento di testo RTF ma è in realtà un eseguibile “Mach-O 64-bit x86_64 executable” compresso con UPX per mascherare la propria identità e ridurre le sue dimensioni. A questo link si trova l’analisi del file “General.rtf” eseguita tramite l’antivirus online VirusTotal.

Il file “General.rtf” una volta decompresso dal packer UPX risulta in un file avente hash SHA256 84a60c8bb2cdf454fdb593318e7c26ba93cc48ba3058530998c8886050981f11 la cui analisi VirusTotal si può visionare a questo link.

L'articolo Ransomware per Mac OS cripta i file, a rischio anche la Time Machine sembra essere il primo su Ransomware Blog.

In questi giorni si sta diffondendo una nuova versione di TeslaCrypt, identificata come “TeslaCrypt 4.0”, che non cambia le estensioni né i nomi dei file criptati, lasciando quindi nome file ed estensione originale. Mentre le versioni precedenti aggiungevano “.micro”, “.mp3”, “.ecc, “.ezz”, “.exx”, “.xyz”, “.zzz”, “.aaa”, “.abc”, “.ccc” o “vvv” al nome del file, questa versione del ransomware TeslaCrypt non permette di capire quali file sono stati criptati, se non analizzandone il contenuto o provando ad aprirli.

Sembra che in questa nuova versione del trojan TeslaCrypt gli autori abbiano corretto alcuni bachi delle precedenti versioni. Come descritto nel blog BleepingComputer, per distinguere un file criptato da uno non criptato non è più possibile utilizzare l’estensione (es. cercare tutti i “.micro”) quindi è necessario basarsi sugli header aggiunti al file dal criptovirus. L’header del file, cioè l’intestazione che contiene le informazioni circa la sua cifratura da parte del ransomware, è il seguente ed è essenziale perché i file criptati hanno la stessa estensione di quelli in chiaro:

offset size Description
————————————–
0x000 8 0x0000000000000000
0x008 8 %IDHEX%
0x010 8 0x0000000000000000
0x018 65 PublicKeyRandom1_octet
0x059 32 AES_PrivateKeyMaster
0x079 31 Padding 0
0x098 65 PublicKeySHA256Master_octet
0x0D9 3 0x000000
0x0DC 65 PublicKeyRandom2_octet
0x11D 32 AES_PrivateKeyFile
0x13D 31 Padding 0
0x15C 16 Initialization vector for AES
0x16C 4 Size of original file
AES 256 CBC

Il tecnico BloodDolly ha aggiornato il suo decryptor TeslaDecoder alla versione 0.0.085 in modo da decifrare i file criptati da questa versione del criptovirus TeslaCrypt 4.0, a patto ovviamente ch sia stata reperita in qualche modo la chiave di cifratura. Dal changelog.txt del decryptor TeslaDecoder leggiamo infatti che “Added support for TeslaCrypt 4.0 with the same extension as the original file“.

Le cartelle dove il trojan ha criptato dei documenti contengono il messaggio con la richiesta di riscatto in bitcoine un file contenente un recover file:

• RECOVERrrxec.txt
• RECOVERrrxec.png
• RECOVERrrxec.html
• recover_file.txt

I messaggi html, png e txt contengono la richiesta di riscatto in bitcoin lasciata dal cryptovirus e alcune informazioni circa il tipo di cifratura applicata dal ransomware:

NOT YOUR LANGUAGE? USE https://translate.google.com
What’s the matter with your files?
Your data was secured using a strong encryption with RSA4096.
Use the link down below to find additional information on the encryption keys using RSA4096:https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What exactly that means?
It means that on a structural level your files have been transformed. You won’t be able to use, read, see or work with them anymore.
In other words they are useless, however, there is a possibility to restore them with our help.
What exactly happened to your files?
*** Two personal RSA4096 keys were generated for your PC/Laptop; one key is public, another key is private.
*** All your data and files were encrypted by the means of the public key, which you received over the web.
*** In order to decrypt your data and gain access to your computer you need a private key and a decryption software, which can be found on one of our secret servers.
What should you do next?
There are several options for you to consider:
1. You can wait for a while until the price of a private key will raise, so you will have to pay twice as much to access your files or
2. You can start getting BitCoins right now and get access to your data quite fast.
In case you have valuable files, we advise you to act fast as there is no other option rather than paying in order to get back your data.
In order to obtain specific instructions, please access your personal homepage by choosing one of the few addresses down below:
http://h5nuwefkuh134ljngkasdbasfg.corolbugan.com/1EBDCAC12456D1B
http://p54dhkus4tlkfashdb6vjetgsdfg.greetingshere.at/1EBDCAC12456D1B
http://f4dsbjhb45wfiuqeib4fkqeg.meccaledgy.at/1EBDCAC12456D1B
If you can’t access your personal homepage or the addresses are not working, complete the following steps:
1 Download TOR Browser – http://www.torproject.org/projects/torbrowser.html.en
2 Install TOR Browser
3 Open TOR Browser
4 Insert the following link in the address bar: k7tlx3ghr3m4n2tu.onion/1EBDCAC12456D1B
5 Follow the steps on your screen
IMPORTANT INFORMATION
Your personal homepages:
http://h5nuwefkuh134ljngkasdbasfg.corolbugan.com/1EBDCAC12456D1B
http://p54dhkus4tlkfashdb6vjetgsdfg.greetingshere.at/1EBDCAC12456D1B
http://f4dsbjhb45wfiuqeib4fkqeg.meccaledgy.at/1EBDCAC12456D1B
Your personal page Tor-Browser k7tlx3ghr3m4n2tu.onion/1EBDCAC12456D1B
Your personal identification ID: 1EBDCAC12456D1B

La pagina detta “personal page” dove la vittima può pagare il riscatto richiesto dal crypto virus è contenuta su sito ONION della rete Tor, che non necessariamente è il Command and Control server ,accedibile tramite Tor Browser.

Il testo contenuto nella richiesta di riscatto del virus TeslaCrypt 4.0 è identico agli altri TeslaCrypt, la cifra da pagare per decifrare i file è 1.3 bitcoin con 7 giorni di tempo per pagare prima che il riscatto raddoppi.

Your files are encrypted.
To get the key to decrypt files you have to pay 500 USD. If payment is not made ​​before 22/03/16 the cost of decrypting files will increase 2 times and will be 1000 USD
Prior to increasing the amount left:
First connect IP: 84.114.230.8
We present a special software – Decrypter – which allows to decrypt and return control to all your encrypted files.
How to buy decrypter?
1. You can make a payment with BitCoins, there are many methods to get them.

2. You should register BitCoin wallet (simplest online wallet OR some other methods of creating wallet)

3. Purchasing Bitcoins – Although it`s not yet easy to buy bitcoins, it`s getting simpler every day.

Here are our recommendations:

btcdirect.eu – Good service for Europe.
bittylicious.com – Get BTC with Visa/MC or SEPA(EU) Bank transfer.
localbitcoins.com – Service allows you to search for people in your community willing to sell bitcoins to you directly(WU, Cash, SEPA, Paypal and many others).
cex.io – Buy Bitcoins with Visa/Mastercard or Wire Transfer.
coincafe.com – Recommended for fast, simple service. Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order.
bitstamp.net – Old and trusted Bitcoin dealer.
btc-e.com – BTC dealer, Visa/Mastercard and etc.
Couldn’t find BTC in your location? Try searching these directories:
buybitcoinworldwide.com – An international directory of bitcoin exchanges.
bitcoin-net.com – One more BTC dealer directory.
howtobuybitcoins.info – An international directory of bitcoin exchanges.
bittybot.co/eu/ – EU countries directory.

4. Send BTC to Bitcoin address:

5. Enter the Transaction ID and chose payment option:

Note: Transaction ID – you can find in detailed info about transaction you made.
(example 44214efca56ef039386ddb929c40bf34f19a27c42f07f5cf3e2aa08114c4d1f2)

6. Please check the payment information and click “PAY”.

Your sent drafts
Num Draft type Draft number or transaction ID Amount Status

0 valid drafts are put, the total amount of 0 USD.

Come per tutte le ultime versioni di TeslaCrypt, il decryptor è liberamente scaricabile dal sito dell’organizzazione criminale a patto che si conosca il link, che è il seguente: “http://k7tlx3ghr3m4n2tu.onion/decrypt.zip”. Per ottenere il link di download del tool per decifrare i file criptati dal ransomware è sufficiente aggiungere “/decrypt.zip” alla URL onion indicata nel messaggio lasciato sul PC dal criptovirus). Notare che non è sufficiente possedere il decryptor per recuperare i file resi illeggibili dal virus, serve anche la chiave che al momento non è possibile ricavare, recuperare o generare in alcun modo quindi l’algorimo rimane “sterile”.

L’archivio zip contiene il file “decrypt.exe” avente MD5 ca4ae810b3694b95064e974ff2173cf4 e SHA256 dbad97db5c8eb038c90bb23b102f774881b19ee71d2cd0224a03d547317cd0aa. Chi volesse scaricare il software per decriptare i file cancellati (ricordiamo che manca la chiave di cifratura quindi il software con il suo algoritmo di decifratura da solo è inutile) può farlo al link sopra oppure dal sito Malwr, dove è presente anche una analisi statica e dinamica del decryptor per TeslaCrypt 4.0. In alternativa, grazie al proxy “onion.to” e al “Web Archive / WayBack Machine” è stata salvata una copia del decryptor a questo link nel clearweb.

Se state chiedendovi come decriptare i file criptati da TeslaCrypt 4.0, al momento non esiste una soluzione certa e soprattutto gratuita. Il tool di BloodDolly – utente del forum BleepingComputer – funziona a patto che si riesca a ottenere la chiave di cifratura, cosa che alcuni ottengono pagando il riscatto in bitcoin, cosa che sconsigliamo vivamente non tanto per l’incertezza di ottenere il decryptor quanto perché non si dovrebbe scendere a compromessi con i delinquenti.

L'articolo TeslaCrypt 4.0 non cambia l’estensione dei file criptati sembra essere il primo su Ransomware Blog.

Riprendiamo un interessante articolo di Sylvain Sarméjeanne uscito ieri su Lexsi Security Hub che presenta, in francese, un approccio particolare per chi vuole proteggersi dal ransomware Locky [WBM]. L’idea è quella di analizzare il comportamento del criptovirus Locky e sperimentare le sue reazioni a seguito di specifiche azioni sul registro di sistema, verificando come in alcune situazioni il trojan interrompe la sua attività di cifratura o non la comincia nemmeno. Sostanzialmente, si crea una sorta di vaccino per il ransomware che rende il sistema “immune” dall’infezione, ovviamente se il vaccino viene applicato prima che il virus contagi il PC e cripti i documenti. Precisiamo quindi che nell’articolo non viene spiegato come decifrare i file criptati da Locky né come identificare il malware prima che agisca, ma come proteggere il sistema da questa particolare versione di Locky, fino a quando gli autori non aggiorneranno il codice.

Sylvain ha scoperto, ad esempio, che quando il malware Locky infetta il sistema crea la chiave di registro “HKCU\Software\Locky”. Se Locky non riesce a creare tale chiave, non avvia il processo di cifratura dei documenti della vittima. Creare la chiave di registro “HKCU\Software\Locky” con permessi ACL limitati fa sì che il malware non riesca ad attecchire.

Locky verifica inoltre all’interno della chiave “HKCU\Software\Locky” la presenza dei valori:

• id: identificativo della macchina infetta
• pubkey: chiave pubblica recuperata dal server
• paytext: testo mostrato alla vittima, nella sua lingua nativa
• completed: fine del processo di cifratura dei documenti

Se il campo “completed” ha valore “1” e il valore “id” contiene l’identificativo corretto del computer, il criptovirus Locky interrompe la sua attività di criptaggio dei documenti. La soluzione per il vaccino quindi è quella di inserire “1” nel campo “completed” e il valore corretto nel campo “id”, utilizzando la formula identificata da Sylvain.

Il campo “pubkey” ha anch’esso un ruolo importante, dato che è destinato a contenere la chiave pubblica RSA utilizzata dal ransomware. Sylvain ha notato che se il valore esiste ma è invalido (es. un ottetto nullo), i file non vengono rinominati né cifrati da Locky, nonostante esegua il suo ciclo d’infezione e lo concluda “convinto” di aver combinato danni. Se invece il campo “pubkey” contiene una chiave RSA 1024 invece di una RSA 2048, i file saranno rinominati ma non cifrati dal trojan.

Ultimo, se nel campo “pubkey” si memorizza una chiave RSA2048 nota, il ransomware Locky la utilizza senza fare alcun controllo (pur non avendola creata lui) per cifrare i documenti. Questo significa che il virus infetterà il sistema e cifrerà i dati, ma saremo in grado di decifrarli conoscendo la chiave.

Sylvain analizza quindi in dettaglio il meccanismo di cifratura dei file e dei nomi dei file (ricordiamo che Locky cifra anche i nomi dei file, non soltanto i dati) identificando come il ransomware utilizzi la chiave asimmetrica RSA per cifrare una chiave che verrà utilizzata per cifrare tramite algoritmo simmetricoAES-128-ECB un contatore che fungerà da base per “cifrare” tramite XOR il nome del file e il contenuto dei documenti del PC della vittima. Sostanzialmente, viene mostrato come decriptare i documenti criptati da Locky ma soltanto se la chiave è nota.

Nell’articolo originale viene fornito il codice python di un decryptor per decifrare i file criptati e i loro nomi utilizzando la chiave pubblica inserita nel campo “pubkey” della chiave di registro utilizzata da Locky, ricordiamo che la chiave deve essere nota, quindi il decryptor non funziona per chi è già stato infettato da Locky.

Un ringraziamento va a Sylvain Sarméjeanne e all’amico Giovanni per la segnalazione.

L'articolo Come creare un vaccino contro il ransomware Locky sembra essere il primo su Ransomware Blog.

E’ da lunedì 21 marzo che il SOC (Security Operations Center) di Fox-IT ha segnalato privatamente all’EC Council che il loro sito iclass.eccouncil.org (dove offrono tra l’altro la certificazione “Certified Ethical Hacker”) infettava tramite un redirect i visitatori con il ransomware Teslacrypt tramite l’Anger Exploit Kit. La risorsa contenente l’Angler Exploit Kit sfrutta falle nei browser che supportano plugin Flash Player o Silverlight per avviare il downloader “Bedep” che scarica sul PC della vittima il vero e proprio ransomware che poi infetta il sistema, cripta i documenti e chiede il riscatto in bitcoin.

FoxIt fa notare che, come precauzione, gli autori dell’exploit hanno programmato il redirect che causa il download del criptovirus e l’infezione del PC in modo che il redirect malevolo si attiva soltanto se si verificano tre condizioni:

1. La vittima deve avere Internet Explorer (o comunque presentarsi come tale tramite user agent)
2. Il visitatore deve arrivare sul sito tramite un motore di ricerca come Google o Bing (quindi digitando direttamente l’URL il malware non si attiva)
3. L’indirizzo IP del malcapitato non deve essere tra quelli nella blacklist del trojan (come potrebbero esser ad esempio gli IP di Forze dell’Ordine, FBI, etc…) e deve far parte di un’area geografica tra quelle “proficue” per i pagamenti del riscatto in bitcoin

L’exploit consiste in uno script in PHP che fa le opportune verifiche e attiva il redirect. Il codice probabilmente è stato inserito sul sito dell’EC-COUNCIL utilizzando una vulnerabilità del CMS WordPress, sul quale è basata la piattaforma di certificazione CEH e che spesso viene utilizzato dagli hacker per bucare siti web.

Per questo motivo si raccomanda di aggiornare sempre il browser e i plugin installati, in particolare Flash, Silverlight e Java che sono spesso utilizzati dai criminali per attivare meccanismi di drive-by download di malware sui sistemi dei visitatori di particolari siti web. Allo stesso modo, si raccomanda a chi gestisce siti tramite piattaforma CMS WordPress di tenere aggiornato il CMS WordPress e i relativi plugin, eventualmente utilizzando plugin di sicurezza come

I tecnici Fox It segnalano come, una volta visitato il sito web EC-COUNCIL, sul PC della vittima viene scaricato il “dropper” consistente, per questa campagna d’infezioni, nel ransomware TeslaCrypt. Se avviato, il virus TeslaCrypt comincia a criptare i documenti del computer e richiede il pagamento di un riscatto in bitcoin, configurando quindi i reati di estorsione, danneggiamento informatico e accesso abusivo ma lasciando lo spazio in alcuni casi per reati di riciclaggio e favoreggiamento.

Per chi si chiede come recuperare i dati criptati da TeslaCrypt, al momento non è ancora disponibile (almeno per le versioni TeslaCrypt 3.0 e 4.0) un decryptor gratuito e sconsigliamo di pagare il riscatto in quanto si alimenta un mercato di criminalità organizzata a livello internazionale.

Chiudiamo ricordando come l’EC Council non sia nuovo a episodi di hacking del loro sito web: esattamente 2 anni fa avevano subito un defacement da parte dell’hacker con nick pseudonimo “Eugene Belford” che aveva lasciato il messaggio di scherno “Owned by certified unethical software security professional” aggiungendo, nelle pagine defacciate, i documenti che provavano che Edward Snowden aveva seguito i corsi di CEH in India.

Tempo dopo, sulla homepage della webpage dell’EC Council è comparso un nuovo messaggio di defacement, che si complimenta con il Council per l’aver riutilizzato la stessa password:

“Defaced again? Yep, good job reusing your passwords morons jack67834# owned by certified unethical software security professional Obligatory link: http[://]attrition[.]org/errata/charlatan/ec-council/ -Eugene Belford P.S It seems like lots of you are missing the point here, I’m sitting on thousands of passports belonging to LE (and .mil) officials”

Al sito linkato nel messaggio di defacement [WBM], decisamente polemico nei confronti dell’ECC EC-Council, sono elencate una serie di “sventure” dell’organizzazione che distribuisce la certificazione CEH, compresa quella relativa all’argomento di questo post, cioè alla distribuzione del ransomware TeslaCrypt tramite Angler Exploit Kit.

Indicatori di Compromissione (IOCs)

Server C&C di Bedep

89.163.240.118 / kjnoa9sdi3mrlsdnfi[.]com
85.25.41.95 / moregoodstafsforus[.]com
89.163.241.90 / jimmymorisonguitars[.]com
162.244.32.121 / bookersmartest[.]xyz

Server C&C di TeslaCrypt

50.87.127.96 / mkis[.]org
213.186.33.104 / tradinbow[.]com

L'articolo Il sito web che distribuisce ransomware oltre a certificazioni di sicurezza sembra essere il primo su Ransomware Blog.

Un ransomware di nome Petya sta facendo parlare di sé perché, a differenza dei criptovirus che criptano i documenti, questo trojan cripta l’intero hard disk. O meglio, l’MBR e l’MFT, aree del disco che servono per permettere al sistema di avviarsi e conoscere dove sono memorizzati i file. E chiede un riscatto, in bitcoin ovviamente.

Il ransomware Petya si diffonde tramite posta elettronica, invitando le vittime a scaricare un file (chiamato “application folder-gepackt.exe”) dal cloud Dropbox e ad avviarlo. Nel momento in cui il malcapitato apre il file, il virus modifica l’MBR del disco e manda il sistema in crash tramite una Blue Screen O Death (la schermata blu tipica di quando Windows va in crash).

Al riavvio del PC viene mostrato un finto chkdsk che fa credere all’utente che è in corso la riparazione del disco C: mostrando il tipico messaggo “Repairing file system on C:” e un conteggio dei settori in fase di verifica, il tutto decisamente realistico.

Terminata questa fase – durante la quale in realtà il ransomware sta criptando l’MFT che contiene l’indice dei file presenti sul sistema, compare sempre in finestra di testo un messaggio su schermo rosso con un teschio e il testo “Press any key”:

che comunica che il PC è vittima del ransomware Petya.

La schermata “You became victim of the Petya Ransomware” informa la vittima che il disco del computer è stato criptato con un algoritmo di grado militare e non c’è modo di ripristinare i dati senza una chaive speciale. Ovviamente la chiave è acquistabile sulla darknet seguendo le istruzioni, che consistono in:

1. Scaricare il software Tor Browser all’indirizzo ufficiale www.torproject.org (alternativamente cercare su Google “access onion page”
2. Visitare uno dei due indirizzi petya5koahtsf7sv.onion oppure petya37h5tbhyvki.onion
3. Inserire il codice personale di decryption indicato nella pagina.

Accedendo alla pagina indicata dal ransomware raggiungiamo un sito con un logo contenente la falce e martello della bandiera URSS e la scritta “Petya Ransomware” con caratteri che ricordano il cirillico.

La pagina firmata “Copyright © 2016 Janus Cybercrime Solutions™” e disponibile in diverse lingue informa la vittima che il suo PC è stato criptato (“Your computer has been encrypted“) e viene mostrato un conto alla rovescia che indica il termine scaduto il quale il riscatto verrà raddoppiato.

Your computer has been encrypted

The hard disks of your computer have been encrypted with an military grade encryption algorithm. It’s impossible to recover your data without an special key. This page will help you with the purchase of this key and the complete decryption of your computer.

The price will be doubled in: 6 days 1 hours  14 minutes   27 seconds

News

24.03.2015

WARNING

Do not restore the MBR with the Windows Recovery Tools. This could destroy your data completly!

There are a lot of wrong informations online. If you are looking for reliable informations, please visit https://blog.gdata.de/2016/03/28222-ransomware-petya-verschlusselt-die-festplatte

16.12.2015

Petya launched

Today we launched the Petya Ransomware Project.

Notiamo che la pagina mostra una sorta di blog aggiornato dal delinquente autore del ransomware, dove nel post del 24 marzo indica come è inutile ripristinare l’MBR poiché i file saranno comunque persi e viene indicato un link del sito GDATA dove secondo il delinquente “si trovano informazioni affidabili”.

Vengono quindi mostrati 4 step che guidano la vittima a ottenere la chiave di decifratura del proprio hard disk. Il primo passo è quello di inserire il proprio identificativo personale di cifratura.

Step 1: Enter your personal identifier

First you have to enter your personal identifier. This code contains important informations for the decryption process. It’s important that you enter it exactly like shown on the encrypted computer. The code contains a checksum, which prevents typos and ensures a successfull decryption.

Enter your identifier:

Il secondo step contiene le indicazioni per acquistare i bitcoin necessari a pagare il riscatto. Il ransomware Petya richiede il pagamento di 0.93913600 bitcoin e vengono suggeriti i siti www-btcdirect.eu, www.localbitcoins.com e www.coincafe.com per l’acquisto.

Step 2: Purchase Bitcoins

Your decryption key can only be purchased with Bitcoins. Bitcoin is a digital currency which can be exchanged from nearly every normal currency. There are a lot of exchange platforms on the internet, most of them are specialized on a single currency. Today buying bitcoins online is very easy and it’s getting simpler every day!

You have to purchase at least the amount shown below. It is recommended to purchase a bit more, to ensure a successfull payment. An extra of 5% should be enough. If you already own enough Bitcoins, you could skip this step.

Demand:

0.93913600 Bitcoins

The following exchanges and marketplaces are recommended:

• http://www.btcdirect.eu – Sofort Banking, Giropay, Bank Wire, Mastercard and Visa
• http://www.localbitcoins.com – Bank Wire and Cash
• http://www.coincafe.com – Instant in NYC, Bank Wire and Mail Cash, Bank Wire and Credit Card

Any kind of Bitcoin-Wallet isn’t required, you can transfer the purchased bitcoins directly to the payment address. If you want create a wallet anyway, http://www.blockchain.com is recommended.

If you successfull bought the right amount of Bitcoins, click “Next” for the next step

Il terzo passo indica all’utente l’indirizzo bitcoin dedicato alla vittima sul quale versare il riscatto. Ad ogni vittima viene dedicato un indirizzo specifico e unico, a differenza dei “vecchi” ransomware che utilizzavano gli stessi indirizzi bitcoin per il pagamento del riscatto di tutte le vittime, condividendo quindi il  saldo e le transazioni.

Step 3: Do a bitcoin transaction

Now you have to send your purchased Bitcoins to the payment address. If you just purchased Bitcoins on a exchange or marketplace site, look for a section called “withdraw” and enter the details shown below. If you already own Bitcoins, send the right amount to the payment address shown below, directly from the wallet you use.

If you have any problems with the transaction, feel free to contact our support.

Address:		1GPQRQ5trbn6WynMDRq3ubbEfPUiyRy1sd
Demand:		0.93913600 Bitcoins

If you successfull made the payment transaction, click “Next” for the next step.

A questo punto, il delinquente attende il pagamento del riscatto e, una volta verificata la somma, fornirà il decryptor per decriptare il disco della vittima.

Step 4: Wait for confirmation

Wait for the confirmation of your payment. This confirmation is done manually and is usually done in about an hour. In some rare cases, the conformation process could take up to 12 hours.

If you have any problems with the transaction, feel free to contact our support.

Nel caso in cui la vittima avesse dei problemi, è disponibile una sezione FAQ:

FAQ – Frequently Asked Questions

This page lists some frequently asked questions and their answers.

Why is the infection screen shown before windows starts?

Our system has a strong physical low level encryption, which encrypts all of your data storages, include usb devices. Windows repair programs or other diagnositc tools can’t restore any data.

What will happen if I just reinstall my computer?

All your data will be irreversible destroyed and you have to buy a new windows license. Nobody can restore any data without your personal decryption key.

Which encryption algorithms are used?

The RSA (cryptosystem) 4096 bit and Advanced Encryption Standard (AES) 256 bit are used. Both systems are very secure and can’t be bypassed or cracked.

What can i do?

Follow the decryption wizard on this page. It will help you with the payment and the dexryption of your computer. In some cases your personal data will published to the darknet if you don’t pay!

In caso di problemi, è disponibile anche un modulo di contatto per ricevere assistenza e supporto per il pagamento del riscatto in bitcoin.

Message history

The messages between you and the support are shown below.

Send message

If you have any problems with the payment or the decryption process, you can send us a message. Please write your message in english, our russian speaking staff is not always available.

Esaminando l’MBR del sistema si nota come sia – ovviamente – stato modificato per mostrare il messaggio su schermo rosso all’avvio.

Non esistono al momento soluzioni per decriptare l’MBR e recuperare i file, stiamo verificando se i dati vengono lasciati intatti sul sistema ed è quindi possibile tramite software di carving come Recuva o Photorec recuperarli.

Chi desiderasse testare l’infezione può scaricare i payload da questi link che mostrano anche l’analisi eseguita tramite il sito Malwr e gli hash dei sample:

• https://malwr.com/analysis/ZjE2YzNhNmI5NDAxNDQ4Yjk3ODc0ZDg1ZDU2ZGIwNmM/
• https://malwr.com/analysis/MzM4YmM4MGU0OTJkNDJmYmFmMDQ2ZDc0OTdlNGE4ZTY/
• https://malwr.com/analysis/YzA2NDdhZmY3YzRjNDkzZGE3ZjgyYWZlZGViM2RiMGQ/

Si possono trovare su web le analisi eseguite su Hybrid Analysis:

• https://www.hybrid-analysis.com/sample/26b4699a7b9eeb16e76305d843d4ab05e94d43f3201436927e13b3ebafa90739
• https://www.hybrid-analysis.com/sample/b521767f67630b74e2272ee953295ef56c8b6428da75afa5bbfb05b72b34c69d
• https://www.hybrid-analysis.com/sample/e99eccfc1473800ea6e2e730e733c213f18e817c0c6501209f4ee40408f94951

L'articolo Petya cripta MBR e MFT del disco invece dei documenti sembra essere il primo su Ransomware Blog.

La società produttrice di antivirus BitDefender ha pubblicato da alcuni giorni un software che sembrerebbe in grado di “vaccinare” il computer da alcuni ransomware, tra i quali le versioni attuali e future delle famiglie di CTB-Locker, Locky e TeslaCrypt. Il tool antiransomware “BDAntiRansomware” è disponibile gratuitamente e scaricabile da questo link [WBM] anche per chi non possiede licenze del software BitDefender. Consigliamo in ogni caso di visitare la pagina originale del sito BitDefender e scaricare l’antiransomware dal link disponibile online che presumibilmente sarà l’ultima versione (al momento è la 1,0,11,26).

Precisiamo che il Combination Crypto-Ransomware Vaccine non è un software decryptor per decifrare i file criptati dai ransomware, né un removal tool per rimozione virus, spyware, trojan o ransomware. Il vaccino antiransomware permette di inibire il funzionamento di alcuni ransomware come CTB-Locker, Locky e TeslaCrypt, impedire che riescano a criptare i documenti dei PC infetti e chiedere il riscatto in bitcoin.

In sostanza, l’Anti Ransomware di BitDefender protegge il computer contro i trojan CTB-Locker, Locky e TeslaCrypt facendo credere ai ransomware che il PC è già stato infettato dai malware in passato. La maggior parte dei ransomware non colpisce due volte, nel senso che se un PC è già stato infettato e i documenti criptati, non lo infettano nuovamente.

Il software di AntiRansomware di BitDefender inganna i controlli dei ransomware CTB-Locker, Locky e TeslaCrypt in modo che questi rilevino il PC come già infettato e quindi si disattivino o comunque non inizino a criptare i documenti della vittima.

BitDefender aveva prodotto, in passato, un programma per vaccinare i PC dal trojan Cryptowall che funzionava in maniera simile anche se richiedeva continui aggiornamenti per mantenere le sue funzionalità. Questo nuovo strumento antiransomware invece sembra in grado di riconoscere nuove famiglie di cryptovirus poiché identifica comportamenti comuni ai ransomware invece di fingerprint specifiche di alcune famiglie.

Al momento, la versione di Bitdefender AntiRansomware è la 1,0,11,26 e nella pagina di “Feedback” del software viene indicato che eventuali commenti o suggerimenti possono essere inviati all’indirizzo remtools@bitdefender.com. La configurazione attuale del tool Anti-Ransomware di BitDefender permette di avviare il tool all’avvio di Windows, rimpicciolire la finestra nella barra all’avvio e rimpicciolirla (invece di chiuderla) alla pressione del tasto di chiusura.

In conclusione, l’idea di rendere immune un PC dalle infezioni dei ransomware non è nuova, basti pensare alla soluzione proposta da Sylvain Sarméjeanne per vaccinare i PC dal cryptovirus Locky modificando alcune chiavi di registro, di cui abbiamo parlato alcuni giorni fa o al software Cryptostalker, cui sta lavorando lo sviluppatore dal criptovirus, di cui parleremo in uno dei prossimi articoli. Certamente anche altri produttori di antivirus come Avast, Kaspersky, Avira, Norton, Panda forniscono dei prodotti che in qualche modo forniscono una soluzione a come difendersi e come proteggersi dai ransomware e staranno lavorando all’implementazione di ransomware blocker come quello di BitDefender.

Stiamo testando il sistema Combination Crypto-Ransomware Vaccine per capire se l’antiransomware di Bit Defender funziona e permette di bloccare i ransomware, i primi test hanno avuto esito positivo e aggiorneremo presto il Ransomware Blog con notizie a riguardo. Se i lettori avessero esperienza o volessero contribuire con esperienze dirette sull’utilizzo del software di Anti Ransomware di BitDefender, i commenti all’articolo sono bene accetti.

L'articolo Bitdefender distribuisce un “vaccino” antiransomware sembra essere il primo su Ransomware Blog.

Come se non bastassero i ransomware che infettano i PC, dopo il CTB-Locker che infetta siti web assistiamo alla diffusione di un nuovo criptovirus che infetta webserver e cripta il contenuto dei siti eCommerce sviluppati tramite la piattaforma CMS Magento. Il ransomware si chiama KimcilWare, chiede il riscatto in bitcoin e fa comparire al posto del portale web la pagina con la richiesta di riscatto con il testo: “Your webserver files has been encrypted with a UNIX algorithm encryptor. You must paw 140$ to decrypt your webserver files. Payment via Bitcoin only. For more information contact me at tuyuljahat@hotmail.com.“.

L’email “tuyuljahat@hotmail.com” risulta essere già stata utilizzata in un ransomware per sistemi Windows chiamato “MireWare”, basato sull’open source “Hidden Tear”, un ransomware “educativo” all’interno del quale gli autori hanno lasciato di proposito alcuni bachi per prevenirne l’utilizzo in contesti reali.

Non è noto come il malware KimcilWare infetti i siti web realizzati tramite Magento, si uò ipotizzare che l’hacking possa avvenire sfruttando bachi di plugin obsoleti o CMS non aggiornato, anche se alcuni utenti riportano di aver subito l’attacco anche su piattaforma Magento aggiornata e risultante “pulita” dall’analisi di servizi di scansione sicurezza Magento come MageReport.

Il ransomware per Magento cripta i file all’interno del webserver aggiungendo l’estensione “.kimcilware”, come possiamo osservare su diversi siti al momento infettati, come ad esempio Komin34.pl [WBM] e binaric.com [WBM].

Sul forum della piattaforma di eCommerce Magento alcuni utenti parlano anche di una variante del ransomware che aggiunge ai file criptati l’estensione “.locked” e lascia un messaggio di richiesta di riscatto di un bitcoin nel file html “README_FOR_UNLOCK.txt” con il seguente contenuto:

###
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: 1859TUJQ4QkdCTexMTUQYu52YEJC49uLV4
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy
###

Da poche ore è comparso sul blog Fortinet un articolo che spiega come decifrare e recuperare i file criptati con il ransomware KimcilWare per Magento, sfruttando il fatto che l’encryption simmetrica tramite algoritmo Rijndael 256 viene fatta con la stessa password che la vittima può utilizzare per la decryption e tale password è ricavabile analizzando il codice. Fortinet non illustra in dettaglio come decifrare i file cifrati da KimcilWare ma indica i principi su cui si baserebbe un decryptor: nel momento in cui sarà disponibile ne parleremo sul Ransomware Blog.

Diversi siti forniscono informazioni su come rimuovere il ransomware KimicilWare, sostanzialmente i consigli di base sono:

1. Modificare password di accesso all’area FTP/SSH;
2. Modificare credenziali di accesso a database MySQL;
3. Ripristinare un backup precedente all’infezione del ransomware verificando che non siano rimasti file con funzione di “backdoor” (rimane il problema che la “backdoor” potrebbe essere già presente nel backup);
4. Aggiornare tutti i plugin e il CMS all’ultima versione;
5. Se possibile, installare un WAF (Web Application Firewall) o integrare l’hosting con servizi come Cloudflare o Sucuri;
6. Iscriversi a Google Search Console o Bing Webmaster Tools;
7. Utilizzare un sistema di monitoring come Monitor.us per rilevare in tempo reale modifiche non autorizzate al sito.

Su VirusTotal è disponibile l’analisi di un sample del ransomware KimcilWare per eCommerce Magento.

L'articolo KimcilWare cripta siti eCommerce Magento e chiede il riscatto sembra essere il primo su Ransomware Blog.

I laboratori Trend Micro hanno avvisato tramite il loro blog che è stato lanciato un attacco per sfruttare una vulnerabilità zero-day di Adobe Flash Player (identificata come CVE-2016-1019), per la quale Adobe ha già rilasciato una patch.

La vulnerabilità è stata sfruttata per veicolare il pericoloso cryptovirus Locky, che utilizza le macro nei documenti Office per nascondere codice del suo dropper che provvede, a sua volta quando il documento Office viene aperto, a scaricare il payload con il compito di criptare i file della vittima e chiedere il riscatto in bitcoin.

Stando al grafico prodotto da Trend Micro, l’Italia a oggi è il quarto Paese maggiormente colpito, dopo Taiwan, Francia e Germania e seguito da Stati Uniti, Corea, Australia, Spagna e Svizzera.

Le versioni di Adobe Flash Player sotto attacco tramite lo zero-day sono la 20.0.0.306 e le precedenti. Lo zero day è stato infatti inserito nel Magnitude Exploit Kit  Ovviamente Trend Micro raccomanda agli utenti di aggiornare Adobe Flash Player all’ultima versione. Aggiungiamo, eventualmente, di disabilitare o disinstallare Adobe Flash Player, se non dovesse realmente servire.

L'articolo Zero Day di Adobe Flash Player veicola il ransomware Locky sembra essere il primo su Ransomware Blog.

Se avete ricevuto in questi giorni un messaggio di posta elettronica intitolato “AVVISO NUMERO 000793348” e proveniente da “pagamento@gruppoequitalia.it” non siete vittima delle cosiddette “cartelle pazze” ma potenziali vittime di un ransomware, chiamato CTB-Locker che, se attivato, cripta i documenti sul vostro PC chiedendo un riscatto in bitcoin per poterli decifrare.

La mail si presenta con una intestazione che cita un fantomatico “Agente della Risossione” (la ‘C’ manca anche nell’originale) e gli articoli di legge “Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 470, Art. 139 c.p.c.” per poi informare la vittima del deposito di un avviso di pagamento “Documento Numero 000793348” presso la Casa Comunale del Comune.

Il testo della finta mail di phishing Equitalia, contenente l’informazione circa il deposito di un fantomatico “Avviso di Pagamento”, è il seguente:

Subject: AVVISO NUMERO 000793348
Date: Wed, 6 Apr 2016 11:23:38 +0600 (BDT)
From: Equitalia <pagamento@gruppoequitalia.it>
To: info@ransomware.it

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 470 – 0047097 – Roma

Art. 26 D.P.R. 29/09/1973, n. 602 e successive modifiche – Art. 60 D.P.R. 29/09/1973, n. 470, Art. 139 c.p.c.

Gentile info@ransomware.it,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento “Documento Numero 000793348” del 06/04/2016 , composto da 3 pagina/e di elenchi contribuenti a nr. 7 atti  [ Scarica il documento]

© Equitalia S.p.A. C.F. P.I. 0917089156470

Le mail possono avere oggetto contenente numeri diversi, come “AVVISO NUMERO 000793348”, “AVVISO NUMERO 00045552”, “AVVISO NUMERO 00071552”, “AVVISO NUMERO 000793348 “, “AVVISO NUMERO  00045552”, “AVVISO NUMERO 000793348”, etc… con il criterio di aggiungere a un fantomatico “AVVISO NUMERO” un numero fittizio di avviso di riscossione Equitalia.

I link puntano verso piattaforme di cloud come Dropbox oppure su siti web creati presso l’hosting dedicatedpanel.com.

Cliccando sul link si attiva il download del vero e proprio trojan, chiamato in diversi modi, ad esempio “Documento Numero 000793348.pdf.exe”, “Documento Numero 00045552.pdf.exe”, “Documento Numero 00071552.pdf.exe”, “Documento Numero 000793348.pdf.exe”, “Documento Numero 00045552.pdf.exe”, etc… sempre seguendo il criterio di aggiungere al nome “Document Numero” un numero fittizio di avviso di pagamento Equitalia.

Il sito ufficiale di Equitalia mette in guardia dalle false mail con presunti avvisi di pagamento e riscossione [WBM] precisando giustamente che “Equitalia è estranea a questi messaggi potenzialmente pericolosi“.

Equitalia allega anche un comunicato stampa ufficiale circa le mail di truffa [WBM] precisando che “Continuano ad arrivare segnalazioni di messaggi di posta elettronica con mittente fatture@gruppoequitalia.it, equitalia@sanzioni.it, servizio@equitalia.it, noreply@equitalia.it, multe@equitalia.online o simili, contenenti presunti avvisi di pagamento di Equitalia e che invitano a scaricare file, a utilizzare link esterni o a effettuare pagamenti. Equitalia ha avuto conferma dalla Polizia Postale che da tempo è in atto una campagna di phishing, cioè di tentativi di truffa informatica architettati per entrare illecitamente in possesso di informazioni riservate. Equitalia è assolutamente estranea all’invio di questi messaggi e ha già presentato querela contro ignoti, pertanto raccomanda nuovamente di non tenere conto della e-mail ricevuta, di eliminarla senza scaricare alcun allegato e di non effettuare i pagamenti richiesti. In ogni caso è possibile richiedere informazioni al call center di Equitalia al numero verde 800 178 078 o al numero 02 3679 3679 (secondo piano tariffario).“.

Il comunicato stampa di Equitalia circa il phishing truffa fornisce anche un elenco degli indirizzi di posta da dove sono stati rilevati provenire i messaggi: “fatture@gruppoequitalia.it, equitalia@sanzioni.it, servizio@equitalia.it, noreply@equitalia.it, servizio@unicredit.it, servizio_clienti@poste.it, noreply-equit@eq.it, support@update.it, equitalia@avvia.it, noreply@postecert.it, reply-equi@riscossioni1.it, equitaliat@raccomandata.it, cifre@equitliaroma.it, assistenza@protocol.it, noreply@certificazione.it, info55@bper.it, noreply@protocol.it, noreply@legge.it, noreplay@bancoposta.it, b4g484809.283418861@gruppoequitalia.it, b4g116353.654618283@gruppoequitalia.it, web_1@postepay.it, pagamento@equitalia.it, pagamenti@equitalia.it, b4g829823.325938126@gruppoequitalia.it, b4g589127.28767122@gruppoequitalia.it, b4g112693.329597469@gruppoequitalia.it, noreply@pec.it, b4g829188.595601231@gruppoequitalia.it, b4g959117.53274326@gruppoequitalia.it, pagamento@gruppoequitalia.it, info28@bper.it, b4g232024.871969135@gruppoequitalia.it, fatture-equitalia@fatture-gruppoequitalia.it, autorizzata@postcert.it; info76842@bcca.it; info14@bcpp.it; info17@bcpp.it; info19@cse.it;info6@bcpp.it; tiziano.baggio@equitaliaspa.legalmail.it; info@venetobanca.it; info@unipol.it; assistenza@creval.it; b4g340831.290834225@gruppoequitalia.it; pagammento@equitalia.it; b4g37105.7327400958@gruppoequitalia.it; multe@equitalia.online.”

Ovviamente il consiglio è quello di cancellare i messaggi di posta e non cliccare sull’allegato. Se avete aperto il messaggio non c’è pericolo, basta non scaricare l’allegato e aprirlo. Se lo avete aperto, mantenete la calma, scollegate il PC dalla rete e spegnetelo per limitare i danni.

Chi vuole studiare il ransomware distribuito dalla campagna che finge cartelle di riscossione Equitalia può trovare ai seguenti link dei sample da scare e analizzare:

• https://malwr.com/analysis/MTI4NDZiNTZmYzEwNDcyMWJkNTE0ODQ0NzhiM2VhZTM/
  • MD5: a39536efcf5aec90d702824451fd6f92
  • SHA1 7a89bd7e2876b645f47c8ba5cf69c747956ee192
• https://malwr.com/analysis/MWY5N2QyZTY4OGZjNGFhODg3ZjI3ZmM1Nzc4NWE4MWM/
  • MD5 3b99f35048b8bd2f20b200b7c2a4b98c
  • SHA1 4008d6f5953a9e1e1fc39581342235f56cb68560
• https://malwr.com/analysis/MzI4OGQ5MGViM2ZlNGE1NmJlOTMzOWNlZDI5ODIzODc/
  • MD5 a4c64aefb73d3623521d91d5d63cdb45
  • SHA1 049afbbc287a04a0f76b8816698131e281590016
• https://malwr.com/analysis/M2RlYjljZjhkZjU3NDgwMDgxMmZiYWIyM2I2ODkxZTU/
  • MD5 a39536efcf5aec90d702824451fd6f92
  • SHA1 7a89bd7e2876b645f47c8ba5cf69c747956ee192
• https://malwr.com/analysis/M2U5YjBmMjdlN2JkNDMxNWFlMmNiMTdhMzI2NWEwNmY/
  • MD5 db0a2be5b0eb4603fada6e6f79f3d267
  • SHA1 b829e48a021b6d2f5041528a2386e9c98e13763b

L'articolo Attenzione al finto avviso di pagamento Equitalia che diffonde CTB-Locker sembra essere il primo su Ransomware Blog.

E’ stata rilevato da un paio di giorni un nuovo ransomware che cripta i documenti senza cambiarne l’estensione ma non lascia, come di solito accade, una indicazione circa i bitcoin necessari per il riscatto o una pagina nel dark web da consultare per pagarlo. Chi ha divulgato questo ransomware chiede invece di mettersi in contatto con lui tramite gli indirizzi “momsbestfriend@protonmail.com” e “torrenttracker@india.com” specificando, se tali indirizzi email dovessero diventare inservibili, che lui riceve le richieste di assistenza anche all’indirizzo BitMessage “BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2”. Gli indirizzi email possono essere chiusi, sequestrati, per la maggior parte monitorati… BitMessage no, ed è per questo che il delinquente lo propone nel messaggio che lascia sui PC infetti come metodo “guaranteed” e “foolproof” di comunicazione con le vittime, spiegando anche alle vittime dove scaricare il software, come creare una nuova identità e inviare un messaggio segreto.

Bitmessage è un sistema peer-to-peer decentralizzato nato nel 2012, anonimo che permette di dialogare in sicurezza uno a uno oppure uno a molti tramite funzioni di broadcast, sfruttando un sistema di comunicazione basato su proof-of-work, chiavi pubbliche e private simile al protocollo Bitcoin. A differenza del Bitcoin, Bitmessage viene utilizzato per scambiare messaggi privati e anonimi, non criptomoneta mediante una blockchain. Per chi vuole approfondire il protocollo bitmessage, è disponibile il whitepaper ufficiale.

Non è ancora chiara la modalità di diffusione del ransomware, quello che è certo è che il payload si presenta come un eseguibile dal nome “Cancel Autoplay 2” e con l’icona di un CDROM con una X rossa davanti, compatibile con l’idea di cancellare l’autoplay.

Il cryptovirus lascia, in ogni cartella criptata, un messaggio con la comunicazione per la vittima nel file in codifica UTF16 Little Endian  “4-15-2016-INFECTION.TXT” e una chiave di 512 byte esadecimali, presumibilmente la chiave pubblica della vittima, nel documento di testo “4152016000.KEY”.

Mentre il file “4152016000.KEY” contiene un valore binario di 512 byte convertito in esadecimale, il file “4-15-2016-INFECTION.TXT” codificato in UTF-16 LE è leggibile e contiene questo testo:

YourID: 2886098
PC: HOME
USER: user
*********
Hey

Your files are now encrypted. I have the key to decrypt them back. I will give you a decrypter if you pay me. Email me at: momsbestfriend@protonmail.com or torrenttracker@india.com

If you don’t get a reply or if both emails die, then contact me using a guaranteed, foolproof
Bitmessage: download it form here https://github.com/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-
0.5.8.exe

Run it, click New Identity and then send me a message at BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2

Cheers

Tra l’altro, questa novità del file di richiesta di riscatto TXT in codifica UTF-16 LE fa sì che sistemi d’identificazione di ransomware come il noto ID-Ransomware di MalwareHunterTeam non ne permettano l’upload e quindi il riconoscimento, generando un errore sollevato da CloudFlare che rileva l’upload del file come una possibile minaccia.

Per chi fosse curioso circa come convertire un file di testo txt da UTF-16 LE (UTF 16 Little Endian) in UTF-8 (quindi leggibile da qualunque text viewer e “innocuo” anche per CloudFlare) su Linux e Mac si può utilizzare il comando iconv -f UTF-16BE -t UTF-8 4-15-2016-INFECTION.TXT > 4-15-2016-INFECTION-UTF8.TXT ottenendo quindi un file in codifica UTF-8.

Il trojan risulta, per alcuni aspetti, simile al ransomware Salam e al cryptovirus Boyah, comparsi sulla scena da poche settimane e descritti in diversi forum a partire da Bleeping Computer. Nel forum di Malekal [WBM] è stato invece rilevato un sample della infezione descritta in questo post, che viene inserita nel thread che parla dei “virus-encoder” o “Crypto-Ransomware” come Criakl, che richiedono il riscatto sulle coppie d’indirizzi email redshitline@india.com e redshitline@aol.com, vegclass@aol.com e greebin@india.com, bingo@opensourcemail.org e hyip-revenue@protonmail.com ma non propongono l’uso del protocollo bitmessage alternativo agli indirizzi di posta elettronica.

Dall’analisi svolta da hybrid-analysis, il trojan sembra mettersi in contatto con il dominio “kentamplin.net” eseguendo una GET sulla risorsa “/wordpress/wp-includes/oops.php”, passando delle informazioni presumibilmente al Command & Control che utilizza un CMS WordPress bucato per parlare con il ransomware. Vengono inviati parametri quali id, cname, arch, srv e ver, come in questo esempio “id=2886098&cname=mh6SlMrX8b&arch=0&srv=0&ver=6.1 HTTP/1.1”.

Rispetto a ieri, diversi antivirus cominciano a rilevare la minaccia, identificandola con le sigle più disparate, Filecoder, Cryptodefense, Cryptor, Ransom.Mobef, Filecoder.NGG, Crypt.EPACK.avbd, etc…

Il sample del ransomware ricavato dal PC infetto (non si tratta quindi del “dropper” ma del “payload”) ha i seguenti valori hash:

• MD5: 116d442d8ec5c62f32c7ba507a5569be
• SHA1: fb93796afa470d87deb316823d3cd6e8d8b18596
• SHA256: ce98e9d9900609c45c948d34153c03b490bc2067e7a742048f60ed53fe95529d

Le analisi pubbliche del sample su VirusTotal e Hybrid Analysis sono disponibili ai seguenti link:

• https://www.virustotal.com/en/file/ce98e9d9900609c45c948d34153c03b490bc2067e7a742048f60ed53fe95529d/analysis/
• https://www.hybrid-analysis.com/sample/ce98e9d9900609c45c948d34153c03b490bc2067e7a742048f60ed53fe95529d?environmentId=1

L'articolo Nuovo ransomware propone bitmessage per dialogare con le vittime sembra essere il primo su Ransomware Blog.

Circa dieci giorni fa ha iniziato a diffondersi un nuovo malware della famiglia dei ransomware. A prima vista si presenta come un update di Firefox, senza cercare di camuffarsi troppo. In realtà si tratta di un cryptovirus che cifra i documenti e chiede un riscatto in bitcoin, tentando di spaventare la vittima con la minaccia di cancellazione di file con il passare del tempo o in caso di riavvio del PC.

Un semplice richiamo ai dettagli di Windows mostra il vero nome del file, BitcoinBlackmailer.

Il ransomware è stato subito ribattezzato Jigsaw a causa della schermata che mostra dopo aver finito di criptare i dati dell’utente. Appare infatti un’immagine su sfondo nero che rappresenta il famoso protagonista del film SAW, John Kramer.

In rete ne sono state trovate diverse versioni. Inizialmente l’autore del malware chiedeva 150 dollari in bitcoin, poi diventati 50 nell’ultima versione.

Anche l’estensione del file è cambiata. La prima versione dopo aver criptato il file, aggiungeva l’estensione .fun. Le altre versioni hanno usato invece suffissi come .btc oppure .kkk

All’immagine di SAW è accompagnato, in sovraimpressione, il testo che segue (tradotto, cambia leggermente da versione a versione, oltre ad essere scritto in inglese e portoghese):

“Voglio fare un gioco con te. Lascia che ti spieghi le regole: Ii tuoi file personali stanno per essere cancellati. Le tue foto, video, documenti etc…Ma non preoccuparti! Succederà solo se non segui le regole. Ho già criptato i tuoi file, in modo che tu non possa accedervi.Ogni ora selezionerò uno di loro e lo cancellerò in modo permanente, quindi nemmeno io sarò più in grado di recuperarlo. Conosci il concetto di crescita esponenziale? Lascia che ti aiuti. Inizia lentamente poi aumenta rapidamente. Durante le prime 24 ore perderai solo pochi file, il secondo giorno poche centinaia, il terzo giorno poche migliaia e così via. Se spegni il computer o provi a chiudermi, la prossima volta che riparto cancellerò 1000 file per punizione. E tu vorrai che io parta di nuovo, perchè sono l’unico in grado di decriptare i tuoi dati. Puoi comprare qui dei bitcoin per riavere i tuoi dati: www.localbitcoins.com. Ora, guarda i tuoi file, non potrai decriptarli senza pagare.”

Un’evoluzione di questo ransomware, infatti, rispetto agli altri è data dal fatto che, oltre a criptare file con specifiche estensioni, minaccia l’utente di cancellare un file per ogni ora in cui non riceve il pagamento. Se l’utente riavvia il computer invece ne vengono cancellati mille.

Analisi Tecnica del malware.

Analizzando il trojan Jigsaw l’impressione, e pratica comune, è quella che sia stato diffuso da diverse persone che hanno acquistato online il codice sorgente. Il nome originale del file è “BitcoinBlackmailer.exe” e non è stato cambiato in nessuna delle versioni analizzate. La teoria è supportata dal fatto che il malware è configurabile dal codice sorgente.

Si può scegliere ad esempio se mostrare un finto messaggio d’errore, cambiare il tipo di criptazione o l’estensione da dare ai file criptati.

Il malware è stato scritto in linguaggio .NET C#.

Ovviamente l’autore del malware ha offuscato e reso incomprensibile il codice sorgente tramite obfuscator, per evitare che venisse analizzato e si potessero individuare delle contromisure all’infezione.

Ha deciso di utilizzare ConfuserEx, versione 0.6, un offuscatore open source ma molto potente per linguaggio .NET.

E’ stato creato un deoffuscatore per ConfuserEx, ma purtroppo non funziona. Anche altre tecniche di deobfuscator “pronte all’uso” non riescono ad effettuare un reverse del codice compilato.

Quando viene avviato, il cryptovirus Jigsaw mostra un messaggio, in questo caso un testo di congratulazioni:

Utilizzando tecniche avanzate di reverse engineering sono riuscito a effettuare un dump del ransomware direttamente dalla memoria RAM, e ad analizzarlo.

Jigsaw crea un processo parallelo in questo percorso: “C:\Utenti\{Nome Utente}\AppData\Local\Adobe (x86)\AcroRd32.exe, camuffandosi quindi da installer di Adobe Acrobat Reader. Altre versioni si camuffano da installer di Chrome o di Firefox.

Quali file vengono criptati da Jigsaw? Vengono cercati e cifrati i file con queste estensioni:

.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR  , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby  , .1pa, .Qpd, .Txt, .Set, .Iif  , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar  

Jigsaw cancella davvero i file? Si.

E’ possibile decriptare i file? Si. Jigsaw utilizza un metodo di crittografia simmetrico con algoritmo AES, per cui la stessa chiave usata per criptare viene usata per decriptare. Per cui, se tramite un reverse engineering si riesce a recuperare la chiave.

E un decryptor è già disponibile, creato dall’utente demonslay335 di bleepingcomputer.com. E’ possibile scaricarlo qui:

https://download.bleepingcomputer.com/demonslay335/JigSawDecrypter.zip

Per i più curiosi e tecnici:

La parola chiave utilizzata per la crittografia è questa:

private const string EncryptionPassword = “OoIsAwwF23cICQoLDA0ODe==”;

Un esempio di questa implementazione si può trovare qui:

https://msdn.microsoft.com/it-it/library/system.security.cryptography.aescryptoserviceprovider.aspx

Sample del malware Jigsaw e analisi eseguite tramite sandbox online si possono trovare invece ai seguenti link:

• MD5: eedb03be0055cf942205cdbe77117750
  • https://www.virustotal.com/en/file/4dfbefba4568092fd731b4ace23c48e956332c6a3b1bdc7c8d0e3b8e2effd72a/analysis/
  • https://www.hybrid-analysis.com/sample/4dfbefba4568092fd731b4ace23c48e956332c6a3b1bdc7c8d0e3b8e2effd72a?environmentId=4
  • https://malwr.com/analysis/NTg1N2JmYjNlNGY1NDAyNmE4YTBkY2U1NTcyNjZkYWY/
• MD5: 8ccf7705df018250e427c13b28a93aee
  • https://www.virustotal.com/en/file/173e930fb34beb0c84932fe826d210e40e576da0cb154903b4a7562d62f6c192/analysis/
  • https://www.hybrid-analysis.com/sample/173e930fb34beb0c84932fe826d210e40e576da0cb154903b4a7562d62f6c192?environmentId=4
  • https://malwr.com/analysis/N2RlZjg4MGNkMzQxNDFmZjliNzIzOWZiMjcwMTZkZjc/
• MD5: 964cefae13ed6df67eceea0e887810b0
  • https://www.virustotal.com/en/file/d20771931f3b1ca6280dff70937b25f7f1d67850cc4c65c9b68c574e0efa0a09/analysis/
  • https://www.hybrid-analysis.com/sample/d20771931f3b1ca6280dff70937b25f7f1d67850cc4c65c9b68c574e0efa0a09?environmentId=4
  • https://malwr.com/analysis/MzY2M2Y4YjEzMTQzNDJlM2JlMDc0NTRhNDliOGQzNjM/

Daniele Mondelli
Security Researcher & Malware Analyst

L'articolo Ransomware Jigsaw, un’analisi tecnica e comportamentale sembra essere il primo su Ransomware Blog.

Se siete stati infettati dal ransomware Petya, potrebbe tornarvi utile l’algoritmo creato da leostone, in grado di generare una password capace di annullare il lavoro fatto da Petya.

Attenzione: se avete scaricato l’eseguibile e non avete ancora riavviato il pc, potreste cavarvela riavviando il pc con una qualche distribuzione live oppure staccando il disco ed attaccarlo tramite usb ad un altro pc. Nel caso in cui invece abbiate già riavviato il pc e vi troviate di fronte alla schermata di Petya, allora l’infezione è già avvenuta ed occorre fare qualche lavoro ulteriore.

Se avete già riavviato, invece, l’infezione è avvenuta ma vi può venire in soccorso Leostone, il quale ha pubblicato un sito attraverso cui fornire alcune informazioni riguardo al disco infettato ed ottenere la chiave di decifratura, da inserire poi nella schermata di richiesta di Petya. [Nel caso il sito fosse giù potete provare anche questo mirror]
Attenzione: se avete già riavviato e siete già stati infettati, non tentate di lanciare un comando FIXMBR. Windows non sarebbe in grado di portarlo a termine in maniera corretta (l’MBR è cifrata….) e vi chiederebbe di usare utility del check del disco, che andrebbero a compromettere ulteriormente la situazione.

Tornando a noi, i dati richiesti da Leostone sono molto specifici e si possono estrarre una volta che si è attaccato il disco ad un altro pc. Occorre estrarre:

• 512 byte dal settore 55 (0x37) con offset 0 (0x00)
• 8 byte nonce dal settore 54 (0x36) con offset 33 (0x21).

I dati ottenuti devono essere convertiti in Base64 e sottomessi al sito.
Sul sito sono presenti due box, con la descrizione, quindi non potete sbagliare.

Dopo aver cliccato sul pulsante Submit parte la procedura – della durata anche di alcuni minuti – terminata la quale viene mostrata la password trovata. Questa è la password da inserire nella schermata di Petya, per attivare la decryption e decifrare i dati.

E’ anche presente un pulsante per una donazione, nel caso aveste voglia di ringraziarlo.

Staccate quindi il disco, rimettetelo al suo posto, riavviate e nella schermata di Petya inserite la password trovata prima e tutto dovrebbe riavviarsi normalmente.

Fonti:

• http://www.bleepingcomputer.com/news/security/petya-ransomwares-encryption-defeated-and-password-generator-released/

L'articolo Come recuperare i dati criptati dal ransomware Petya sembra essere il primo su Ransomware Blog.

Il malware polizia penitenziaria si presenta con una schermata alquanto minacciosa, spacciandosi per una comunicazione proveniente, per l’appunto, dalla Polizia Penitenziaria.

Il messaggio accusa il proprietario del dispositivo di aver tenuto in qualche occasione un comportamento illegale e cerca di estorcere del denaro con la minaccia di gravi conseguenze, motivando così il blocco del dispositivo.

Questo è il testo che compare più di frequente nel messaggio del virus della Polizia Penitenziaria:

ATTENZIONE! Il Suo computer personale è stato bloccato per motivi di sicurezza per le seguenti ragioni. Lei è accusato di visualizzazione / memorizzazione e / o distribuzione di materiale pornografico di contenuto proibito (pornografia infantile / bestialità / stupro. ecc.) Lei ha violato la Dichiarazione Universale sulla lotta contro la diffusione di materiale pedopornografico e accusato di un reato ai sensi dell’articolo 161 del Codice Penale della Repubblica Italiana.
L’articolo 161 del Codice Penale della Repubblica Italiana prevede come pena la privazione della libertà da 5 a Il anni.
Inoltre. Lei è sospettato di aver violato la “Legge sul diritto d’autore e diritti connessi” (scaricamento della musica pirata, video, software senza licenza), e l’uso e/o la distribuzione di contenuti protetti dai diritto d’autore. In questo modo Lei è sospettato di aver violato l’articolo 148 del Codice Penale della Repubblica Italiana.
L’articolo 148 del Codice Penale della Repubblica Italiana prevede come pena una multa di 150-550 unità di base oppure la privazione della libertà da 3 a 7 anni.
Dal Suo computer personale è stato commesso un accesso non autorizzato all’informazione chiusa all’accesso pubblico ed all’informazione d’importanza statale nella rete Internet.
Lei poteva organizzare l’accesso non autorizzato deliberatamente per motivi di lucro, oppure l’accesso non autorizzato poteva avvenire senza la Suo conoscenza o il Suo consenso, siccome il Suo computer personale potrebbe essere infettato da software maligno. Cosi, Lei è sospettato, finchè rinvestigazione sarà condotta, di indagare in violazione involontaria dell’articolo 215 del Codice Penale della Repubblica Italiana (“La legge sull’uso sconsiderato e negligente di computer/PC”).
L articolo 215 del Codice Penale della Repubblica Italiana prevede come pena una multa di €100.000 e/o la privazione della libertà da Sa Danni.
Anche nel corso dellanalisi delle informazioni memorizzate sul Suo computer personale, si è constatato che dal Suo PC in maniera regolare avvengono i mailing di spam di massa, i quali Lei ha volontariamente organizzato per motivi di lucro oppure i quali avvengono senza la Suo conoscenza o il Suo consenso, siccome il Suo computer personale potrebbe essere infettato da software maligno. Questi mailing distribuiscono software dannoso o materiali pornografici vietati. Cosi, Lei è sospettato, finchè rinvestigazione sarà condotta, di indagare in violazione involontaria dell’articolo 301 del Codice Penale della Repubblica Italiana (“La legge sul combattimento dello spam e la diffusione di software dannoso (virus).
L’articolo 301 del Codice Penale della Repubblica Italiana prevede come pena una multa di €250.000 e la privazione della libertà fino a 5 anni.
Si prega di notare che i Suoi dati personali e la Sua locazione sono identificati e contro di Lei può essere iniziato un procedimento legale entro 96 ore della violazione ai sensi degli articoli del codice penale come descritto sopra. I materiali del procedimento penale saranno trasferiti alla corte.
Tuttavia, in conformità con le modifiche al Codice Penale della Repubblica Italiana dal 10 luglio 2013 e la Dichiarazione dei Diritti Umani le Sue violazioni possono essere considerate involontarie (se tali violazioni sono state commesse da Lei per la prima volta), e Lei non sarà perseguiti. Questa condizione può essere soddisfatta mediante il pagamento della Sua multa al reddito dello Stato (a sostegno di progetti per la protezione del cyberspazio della rete Internet).
La multa deve essere pagata da Lei entro 48 ore dopo la violazione. Una volta che le 48 ore sono trascorse, per ulteriori 48 ore saranno raccolte automaticamente le informazioni complete su di Lei, e Lei te sarà perseguito. La dimensione della Sua multa è 100€. La multa si puà pagare con l’aiuto dei voucher PaySafeCard oppure Ukash.
Una volta che si paga la multa e il denaro verrà accreditato sul conto dello stato, il computer sarà sbloccato entro 24 ore.
Dopo di questo, entro 7 giorni Lei è obbligato di eliminare tutte le violazioni connesse con il Suo computer personale. Nel caso che le violazioni non saranno eliminate, il Suo computer verrà bloccato di nuovo, e Lei sarà perseguito (senza la possibilità di pagamento di una multa).
Si noti che Lei deve inserire codici validi dei voucher fiscali quando si paga la multa, e non incassare i voucher introdotti dopo il pagamento. Se si inseriscono codici scorretti dei voucher fiscali o se si tenta di annullare i voucher fiscali dopo il pagamento, oltre alle violazioni sopraindicate Lei verrà accusato di frode (Articolo 377 del Codice Penale della Repubblica Italiana; questo articolo prevede la privazione della libertà da 1 a 3 anni), e Lei sarà si perseguito.

Ovviamente si tratta di un falso che cerca di spaventare l’utente per portare a segno il proprio disegno criminale, la Polizia Penitenziaria non c’entra nulla con il virus che invece viene veicolato tramite falsi App installate tramite APK sullo smartphone Android da utenti poco attenti. Oltre alla Polizia Penitenziaria, il virus spesso di finge come provenire da Arma dei Carabinieri, Polizia Postale, Guardia di Finanza.

In cosa consiste il virus della “Polizia Penitenziaria”

In realtà rende impossibile la navigazione internet o presenta la schermata di warning all’avvio rendendo il dispositivo inutilizzabile senza però procurare alcuna perdita dei propri dati personali che, una volta rimosso il virus, continueranno a risiedere sul dispositivo e torneranno ad essere disponibili senza più alcun rischio.

In alcuni casi è possibile rimuovere il virus eseguendo solo una pulizia dei dati. Nei casi più seri, invece, occorrerà rimuovere definitivamente dal dispositivo l’app infetta.

Questa operazione potrebbe essere resa più difficoltosa dal fatto che è impossibile utilizzare in modo normale lo smartphone o il tablet.

Come rimuovere il trojan della “Polizia Penitenziaria” ripulendo i dati

1. Nel primo caso, ovvero se lo smartphone è ancora utilizzabile, apriamo le “impostazioni” e cerchiamo le app “scaricate” in “gestione applicazioni”. Nelle versioni più recenti di Android, le troveremo alla voce: “app”.
2. Verificate se ci sia qualche App scaricata da poco (potete ordinarle in ordine cronologico rispetto alla data di installazione) e una volta individuata, forzate l’arresto e cancellate  i dati (troverete i bottoni corrispondenti nel pannello che vi comparirà dopo aver selezionato l’app).

Nel secondo caso, se il vostro dispositivo risulta inutilizzabile, si dovrà procedere attraverso un riavvio in modalità provvisoria.

Cosa è la modalità provvisoria?

Si tratta di una modalità in cui lo smartphone si avvia con le sole app strettamente necessarie. Eviterete in questo modo di far avviare l’app responsabile dell’infezione. La procedura da seguire è diversa da un dispositivo all’altro. Generalmente occorre premere i tasti in una certa sequenza o combinazione al momento dell’accensione.

1) Avviare il dispositivo in modalità provvisoria (Safe mode)

Il modo tipico per avviare in modalità provvisoria, che vale la pena provare sui dispositivi di ogni marca e modello (Samsung, HTC, LG, Google, …) , è quello di mantenere premuto il tasto di accensione/spegnimento fino alla comparsa del menù “opzioni dispositivo”.

In seguito bisognerà mantenere premuta la voce “spegnimento” fintanto che il sistema Android non richiederà se si desidera riavviare il dispositivo mobile in modalità provvisoria.

In alcuni casi, tenendo premuto per un numero sufficiente di secondi il tasto di accensione, il telefono si riavvia automaticamente ed entra in modalità provvisoria senza la necessità di fare altro.

Se questo metodo non dovesse funzionare, dopo aver acceso il dispositivo agendo sul pulsante accensione/spegnimento (deve essere spento, non basta il solo riavvio), si dovrà premere il tasto “volume giù” o quello “volume su” tenendolo premuto fino all’ingresso appunto in modalità provvisoria.

Nell’angolo in basso a sinistra, si dovrebbe leggere l’indicazione Modalità provvisoria.

NOTA BENE: in alcuni modelli potrebbe essere il tasto “menu” o entrambi i tasti “volume” a dover essere tenuti premuti durante l’avvio.

Nel caso abbiate un Google device, invece, la procedura sarà quella di mantenere premuto il tasto di spegnimento e mantenere la pressione sulla voce “power off”. In seguito verrà richiesto di volete entrare in safe-mode (modalità provvisoria).

Di seguito riporto i link ad alcune risorse sul web con le istruzioni su come riavviare in modalità provvisoria alcuni specifici modelli:

http://www.samsung.com/ie/support/skp/faq/898277

https://support.norton.com/sp/it/it/home/current/solutions/v59378086_EndUserProfile_it_it

http://www.lg.com/it/supporto/aiuto-prodotto/

2) Individuare l’app responsabile dell’infezione

Una volta avviato il dispositivo in modalità provvisoria è necessario aprire il menù
Impostazioni -> App (o Application Manager) per rimuovere l’app infetta.

Quelle conosciute, al momento, si chiamano: BaDoink, Network Driver System, PornDroid, System Update, Tube Mate, Video Player e Video Render. Se ne doveste scoprire di nuove, potete segnalarlo nei commenti!

3) Disinstallare l’app e riavviare

Premete sull’app, successivamente su “uninstall” per disinstallare l’applicazione che contiene il virus e riavviate il dispositivo nella modalità normale.

Nota bene:  nel caso la voce “unistall” non risulti attiva, sempre dalle impostazioni, cercate la voce “sicurezza” e “amministratori dispositivo”, togliete la spunta dall’app in questione e disattivatela.

Spero che questa guida vi sia stata utile ma, se tutto questo non avesse funzionato, non fatevi prendere dal panico, incrociate le dita e ripristinate ai valori di fabbrica. Perderete i dati ma riavrete indietro lo smartphone.

Silvano Sartore
Computer science, business culture e un mucchio di altre cose

L'articolo Come rimuovere il Virus “Polizia Penitenziaria” da smartphone o tablet Android sembra essere il primo su Ransomware Blog.