Se siete stati infettati dal ransomware CryptXXX e vi chiedete come decriptare i file con estensione “.CRYPT” non disperatevi perché Kaspersky ha rilasciato un decryptor gratuito in grado di decifrare i documenti criptati dai trojan Rannoh, CryptXXX e Cryakl. L’antidoto sviluppato da Kaspersky ai danni prodotti dal virus si chiama RannohDecryptor ed è in grado di ricavare la chiave di cifratura analizzando un file criptato e uno originale.

Il ransomware CryptXXX, come gli altri trojan della famiglia dei cryptovirus, infetta i PC, cripta i documenti e chiede un riscatto in bitcoin. I file vengono resi illeggibili e i nomi vengono modificati aggiungendo l’estensione “.CRYPT”, mentre nelle cartelle ove sono stati cifrati i documenti vengono creati due nuovi file, “de_crypt_readme.txt”,”de_crypt_readme.html” e “de_crypt_readme.bmp”.

Il testo del messaggio con la richiesta di riscatto è il seguente:

NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
How did this happen?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server
What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
Your personal id 4224D8428521
For more specific instructions, please visit your personal home page,
there are a few different addresses pointing to your page below:
http://klgpco2v6jzpca4z.onion.to
http://klgpco2v6jzpca4z.onion.cab
http://klgpco2v6jzpca4z.onion.city
If for some reasons the addresses are not available, follow these steps:
Download and install tor-browser: https://torproject.org/projects/torbrowser.html.en
Video instruction: https://www.youtube.com/watch?v=NQrUZdsw2hA
After a successful installation, run the browser
Type in the address bar: http://klgpco2v6jzpca4z.onion
Follow the instructions on the site.

Per cominciare, scaricate il decryptor RannohDecryptor dal sito Kaspersky a questo link [WBM] e cercate un file criptato e uno non criptato, magari recuperandolo da qualche backup, pendrive (ovviamente non collegata al PC al momento dell’infezione), email o da altri PC non infetti. Avviate il software rannohdecryptor.exe prodotto dalla softwarehouse di antivirus Kaspersky e selezionate su quali dischiRannohDecryptor deve andare a cercare i file criptati.

A questo punto, vi verrà chiesto di selezionare un file criptato dal cryptovirus e di seguito lo stesso file in versione NON criptata, quindi in chiaro e originale, intatto come prima che il trojan cominciasse a fare danni. Selezionate quanto richiesto e avviate il processo di decifratura. Il software RannohDecryptor andrà a cercare tutti i file rinominati in “.CRYPT” e li decifrerà utilizzando la chiave ricavata dal confronto tra il documento criptato e quello intatto che avete selezionato al passaggio precedente.

L'articolo Come decifrare i file cifrati dal trojan CryptXXX con RannohDecryptor di Kaspersky sembra essere il primo su Ransomware Blog.

Diversi lettori ci hanno segnalato che il software RannohDecryptor, di cui abbiamo parlato nel post che spiega come decifrare i file CRYPT cifrati dal ransomware CryptXXX non avvia la decryption e mostra l’errore “Encrypted file size does not equal to original”. Il motivo è che gli autori del malware hanno aggiornato da poco il sistema impedendo al software di decifratura di Kaspersky di funzionare correttamente. Poche ore fa, Kaspersky ha pubblicato una nuova versione del tool che decifra anche i file CRYPT codificati tramite il ransomware CryptXXX 2.0.

E’ sufficiente scaricare nuovamente il tool dal sito Kaspersky [WBM per la versione 1.9.1.0] verificando che la versione sia uguale o successiva alla 1.9.1.0. Come per le versioni precedenti, selezionare le aree nelle quali il tool dovrà cercare i file criptati e indicare almeno un file cryptato con estensione CRYPT. Il tool farà tutto il resto da solo, ricavando la chiave di cifratura dal confronto tra il file criptato e il corrispondente file originale che verrà trovato e decifrando i documenti presenti sul PC, sui dischi esterni e sui dischi di rete.

Abbiamo testato personalmente il tool con infezioni di CryptXXX 2.0 e funziona, grazie al fatto che i tecnici Kaspersky hanno scoperto come decriptare i file cifrati dal ransomware nella sua nuova versione.

L'articolo Aggiornamento di RannohDecryptor per CryptXXX 2.0 sembra essere il primo su Ransomware Blog.

Gli sviluppatori che hanno creato l’ormai tristemente noto ransomware TeslaCrypt chiudono i battenti e pubblicano le proprie scuse e la chiave primaria che permette alle vittime che non hanno pagato il riscatto di recuperare gratuitamente i propri documenti decifrandoli direttamente sul proprio PC. I siti sui quali fino a ieri si poteva trovar la pagina con la richiesta di riscatto mostrano, oggi, tutti la scritta “Progetto chiuso, chiave primaria per decifrare, aspettate che qualcuno sviluppi un software universale per decifrare, siamo spiacenti“.

Il codice HTML della pagina di scuse è semplice, scritto a mano, quasi di fretta, senza chiudere correttamente i tag e con un messaggio chiaro e perentorio.

Project closed
master key for decrypt 440A241DD80FCC5664E861989DB716E08CE627D8D40C7EA360AE855C727A49EE
wait for other people make universal decrypt software

we are sorry!

Il testo che si mostra agli utenti contiene la master key di TeslaCrypt a caratteri enormi, può certamente aver spiazzato chi magari pensava di trovare all’indirizzo onion della rete Tor una tiipca richiesta di riscatto ma grazie ad esso gli sviluppatori hanno potuto scrivere un decryptor in grado di recuperare i file bloccati dal cryptovirus.

Grazie a questa mossa imprevista, le vittime che si chiedevano come decriptare i file cifrati da TeslaCrypt hanno ora una risposta. Sono infatti stati resi disponibili da ESET e da BloodDolly due decryptor universali per i file criptati da qualunque versione di TeslaCrypt.

BloodDolly, utente del forum BleepingComputer, ha pubblicato il suo decryptor universale per TeslaCrypt a questo indirizzo [WBM] contente la master key pubblicata ieri.

ESET, società di sviluppo di antivirus, ha pubblicato il suo tool gratuito per decifrare i file criptati da TeslaCrypt a questo link [WBM] e le istruzioni su come utilizzarlo a questo secondo link nella loro Knowledge Base [WBM].

L'articolo Teslacrypt chiude e pubblica la chiave per decriptare i file sembra essere il primo su Ransomware Blog.

In questi giorni migliaia di aziende e privati hanno ricevuto una mail avente come oggetto “Querela per diffamazione aggravata: 30031752” su Facebook e avente come indirizzo mittente lo Studio Legale Gargani, contenente una diffida per diffamazione aggravata su Facebook da parte di una tale Francesca De Rossi, sedicente cliente dello Studio. Il ricevente viene invitato a scaricare un documento che, invece di essere una querela, è un trojan contenuto in un eseguibile “DOC2016-00-000320-00.exe” compattato in un archivio ZIP dal nome “DOC2016-00-000320-00.zip” e caricato su diversi siti web bucati o su Dropbox.

Il messaggio è realistico e parla di una querela per diffamazione aggravata su Facebook ai danni di una sedicente Francesca De Rossi, è scritto in italiano corretto e contiene link a risorse esterne ma nessun allegato.

Da: Studio Legale Gargani <infoxxxxx.xxxxxxxxx@studiolegalegargani.it>
Date: 23 maggio 2016 12:46
Oggetto: Querela per diffamazione aggravata: 30031752

Egr. Sig. / Sig.ra,
Con la presente Le scrivo in nome e per conto della mia assistita Francesca De Rossi per diffidarla dal proseguire con l’attività lesiva e dichiaratamente diffamatoria del diritto all’immagine, al nome, alla dignità e alla riservatezza della mia assistita, attività da Lei messa in atto via social media su Facebook.

Scarica documento

Per aprire la querela prema sulla scritta “Scarica documento”

La invito, pertanto, a sospendere ogni attività lesiva facendo presente che ho già ricevuto mandato per adire le vie legali e tutelare in sede civile e penali i diritti della mia assistita.

Distinti Saluti.

Studio Legale Gargani
Tel. +39 06.42006977 – Fax 089200144
Email: info@studiolegalegargani.it

Ovviamente lo Studio Legale Gargani, che esiste davvero, non ha nulla a che fare con la diffusione di queste mail e con i malware tramite esse veicolati, né il loro sito o i loro sistemi sono stati coinvolti. Semplicemente gli autori del trojan hanno deciso di utilizzare i loro dati (per altro pubblici, come dominio e numeri di telefono) per rendere più credibile la querela per diffamazione. Lo Studio Legale Gargani, per aiutare le vittime a capire che si tratta di un malware, hanno temporaneamente sostituito il loro sito web con un messaggio che precisa la loro estraneità alla vicenda e tranquillizza circa l’integrità dei loro sistemi e del sito web.

STUDIO LEGALE GARGANI

COMUNICAZIONE IMPORTANTE:

Il sito è momentaneamente off-line al fine di informare coloro che, a seguito di attacco SPAM che ha coinvolto numerose aziende in Italia, avessero ricevuto comunicazione e-mail da questo Studio con la quale si informava di presunta denuncia-querela da parte di tale sig.ra Francesca De Rossi.

La comunicazione in questione NON è stata inviata dallo Studio Legale Gargani e, pertanto, non si ritiene responsabile di disagio che questa avesse procurato poiché nessuno dei nostri sistemi è stato violato in alcun modo, compreso il sito web che è stato modificato a solo scopo di cortesia per aiutare le persone colpite da tale disagio.

Il file che viene scaricato presenta hash MD5 c5e0c9e09fe9ddd491a06414c5400338, SHA256856f9b76815c5e31320979ff59f6c1dbaaa1a7c5bf0d5413dea11b57903a605a ed è un dropper che, sembra, non scarica ransomware ma un keylogger di tipo Pony che ruba le credenziali delle vittime (password, login, etc…) per utilizzarle poi per fini illeciti. Chi è interessato può visionare le analisi del dropper sui siti VirusTotal, Malwr e Hybrid Analysis .

Il file con l’infezione è ospitato su diversi siti, bucati dai delinquenti per potervi caricare il trojan, alcuni dei quali sono tutt’ora compromessi e in fase di ripristino. Oltre a siti bucati, i delinquenti hanno fatto uso di condivisioni Dropbox per caricare il malware, che spesso sono difficili da filtrare perché Dropbox viene utilizzato in numerose aziende e quindi considerato attendibile.

Dropbox è purtroppo pesantemente utilizzato per condividere malware, dato che permette una veloce registrazione e l’upload di materiale infetto che poi può essere condiviso tramite link pubblici. Per farsi un’idea di quali malware vengono diffusi quotidianamente tramite Dropbox, si può consultare il seguente elenco su ScumWare.

L'articolo Trojan diffuso tramite falsa querela per diffamazione aggravata sembra essere il primo su Ransomware Blog.

Questa volta i delinquenti hanno giocato pesante: per veicolare un ransomware hanno assunto l’identità del “Procuratore della Repubblica presso il Tribunale ordinario” inviando a migliaia di vittime italiane un messaggio nel quale si informa il malcapitato di essere sotto inchiesta e che i suoi beni verranno “posti in arresto con l’accusa di mancato pagamento delle imposte e concorso in riciclaggio di denaro”. Ovviamente la mail è un tentativo di phishing, la Procura della Repubblica non ha nulla a che fare con queste mail e i link dai quali la vittima sarà invitata a scaricare il documento relativo all’inchiesta che lo riguarda contengono malware, in particolare un ransomware di quelli che criptano i documenti del proprio PC e chiedono un riscatto.

La segnalazione arriva da numerose fonti, tra le quali la Procura di Udine che ha già provveduto ad avvisare quanti potrebbero correre il rischio di diventare vittime dell’attacco di phishing finalizzato alla diffusione di ransomware.

La mail di phishing contiene un link a un finto documento relativo all’indagine e allusioni a sentenza di condanna, arresto, reclusione, confisca dei beni, finalizzate a impaurire la vittima e scaricare il finto documento. Il link punta verso siti web bucati che, a loro volta, redirigono la connessione (dopo aver verificato IP di provenienza e user agent del browser che deve essere compatibile con Windows) verso uno dei seguenti siti:

• procura-italia.com
• procura-italia.net

Visitando il link con un Sistema Operativo diverso da Windows (ad esempio con Mac OS o con Linux) o con un indirizzo IP non italiano, si ottiene un redirect verso la pagina di Google oppure la visualizzazione del messaggio “This webpage does not support mobile/MAC browser. Please use PC browser to view the content”, che invita a visitare il link con un PC con Windows. Il motivo di questo filtro è che il cryptovirus infetta solamente sistemi Windows e i delinquenti filtrano le vittime in base alla nazionalità, in questo caso italiana.

Su questi siti avviene il download di ciò che non è in realtà un documento ma un archivio ZIP contenente un javascript offuscato che poi scarica il ransomware e contemporaneamente viene mostrato per qualche secondo il logo della Repubblica Italiana.

Mentre l’utente visualizza la pagina di “Download in Corso”, con il logo della Repubblica Italiana”, visualizza sul suo browser una finestra di download di un archivio ZIP che contiene, al suo interno, un file con estensione JS contenente il vero e proprio dropper in javascript.

Che prema OK o CANCEL, la vittima viene portata tramite redirezione http sul sito ufficiale del Ministero della Giustizia, per dare l’impressione di ufficialità del documento eventualmente scaricato che il malcapitato tenterà poi di aprire infettando così con un trojan il proprio PC e ritrovandosi i documenti criptati e una richiesta di riscatto per poterne riavere la disponibilità.

Questo il contenuto della mail che ha come oggetto “Nome Cognome sei sotto inchiesta” ed ha come mittente “Procura della Repubblica” (con indirizzi email NON della Procura della Repubblica e che NON provengono dalla rete istituzionale).

La presente per comunicarLe che il Suo patrimonio immobiliare, così come il Suo conto corrente bancario, verranno posti in arresto con l’accusa di mancato pagamento delle imposte e concorso in riciclaggio di denaro, ad effetto della causa
1234567
L’arresto entra in vigore dal 27.05.16
Lei potrà prendere visione della causa 1234567 cliccando sul link
In questo documento Lei ha la possibilità di trovare informazioni su come ricorrere in appello, il nominativo del giudice inquirente per la causa che La riguarda, la data e il luogo del dibattimento.
Nel caso in cui Lei non si presentasse al dibattimento, lo stesso avrà luogo anche in Sua assenza.
In caso di sentenza di condanna, Le verrà confiscata ogni proprietà e rischia una condanna fino a 15 anni di reclusione.

Data Protection e Privacy

Non si può pubblicare una lettera privata, anche se inviata via e-mail a più persone, senza il consenso dell’autore e dei destinatari. Il principio è stato ribadito dal Garante in seguito al ricorso presentato dal capo di un’associazione a carattere religioso, che aveva lamentato la pubblicazione di una e-mail su un quotidiano a diffusione nazionale, a lui indirizzata, contenente fatti confidenziali e riguardanti la propria vita intima. Nell’accogliere il ricorso, l’Autorità ha ordinato la cancellazione della lettera dall’edizione on line del quotidiano.

I dati del DNS del dominio “procura-italia.com” – registrato tramite credenziali protette da whois privacy – sono i seguenti:

; <<>> DiG 9.8.3-P1 <<>> procura-italia.com any
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32241
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;procura-italia.com. IN ANY

;; ANSWER SECTION:
procura-italia.com. 3599 IN SOA ns1.procura-italia.com. ahu.procura-italia.com. 2015030101 1800 900 1209600 360
procura-italia.com. 3599 IN NS ns1.fullhause.cc.
procura-italia.com. 3599 IN A 46.183.165.186
procura-italia.com. 3599 IN NS ns2.fullhause.cc.

;; Query time: 397 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu May 26 13:41:29 2016
;; MSG SIZE rcvd: 144

Sono in corso accertamenti per identificare il tipo di ransomware e i domini utilizzati dai delinquenti per veicolare il cryptovirus, aggiorneremo periodicamente il post man mano che otterremo risultati.

Il dropper ZIP che abbiamo testato possiede i seguenti valori hash:

• MD5: fc1b59b3c38bedef550d690580807a3b
• SHA1: 0e423635a5b6f3fcb1d78d70a16a5d616bd5c047
• SHA256: 38b78f004887307788cc429d7c1de3fd19db4d03958a5221d79f36c9899cd602

Il javascript JS contenuto nell’archivio ZIP possiede i seguenti valori hash:

• MD5: e553b8ccc10890e1e64ad816cbdbc925
• SHA1: ba6de0aecc66d8081e48c67af1dcb19aae9dc6d0
• SHA256: c2b51cdcecc163731f75c90fe3778d5f45ed497e66d83f34630af56770780a00

Chi fosse interessato ad analizzare il dropper può visionare le analisi realizzate da VirusTotal, Malwr e Hybrid Analysis dalle quali è possibile fare download del malware, ovviamente con le dovute cautele.

L'articolo Ransomware con phishing su inchiesta della Procura della Repubblica sembra essere il primo su Ransomware Blog.

Diversi esperti di sicurezza hanno unito gli sforzi per realizzare e mantenere aggiornato un documento, noto con il nome di “Ransmware Overview“, contenente l’elenco di tutti i cryptovirus noti, con le loro caratteristiche peculiari e le possibilità di recupero dei dati criptati tramite decryptor o sistemi alternativi.

Il documento è noto con il nome di “Ransomware Overview”, viene distribuito sotto forma di Google Sheet, foglio di calcolo online, ed è visibile in ogni momento a questo link. Il foglio di calcolo online si aggiorna automaticamente e, volendo, è anche possibile scaricarne una copia sul proprio PC cliccando su “Download” nella barra in alto e selezionando il formato di XLSX oppure ODS.

All’interno dell’elenco, per ogni ransomware e per ogni versione sono presenti diverse informazioni preziose, come l’eventuale estensione che viene aggiunta al nome dei file, commenti, algoritmo di cifratura, nomi alternativi con cui il trojan è noto, eventual presenza di decryptor o sistemi per recuperare file, screenshot del messaggio di richiesta del riscatto.

Ulteriore aggiunta, un’intera sezione dedicata i mezzi di prevenzione dai ransomware, che elenca e dettaglia i diversi tipi di soluzioni atte a prevenire l’infezione tramite Group Policy, filtri di posta elettronica, best practice, etc…

Recentemente è stata aggiunta al documento una sezione dedicata ai ransomware ancora non identificati, una contenente informazioni sui nomi con i quali Microsoft rileva l’infezione, link a sandbox ed elenco degli IOC (Indicatori di Compromissione),

Una versione web del solo elenco dei ransomware con info e decryptor viene mantenuta da Nyxbone sul suo sito web, non è chiaro se sia legato direttamente al Google doc oppure venga aggiornato in parallelo ma manualmente, consigliamo in ogni caso di visionare entrambe le fonti per essere certi di consultare le informazioni aggiornate sui ransomware.

Ad oggi, il documento – distribuito sotto licenza Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License – contiene informazioni, dettagli ed eventuali soluzioni per recuperare i file criptati dai seguenti cryptovirus: .CryptoHasYou., 777, 7ev3n, 8lock8, Alpha Ransomware, AutoLocky, BadBlock, Bandarchor, BitCryptor, Blocatto, Booyah, Brazilian, BrLock, Browlock, Bucbi, BuyUnlockCode, Cerber, Chimera, CoinVault, Coverton, Cryaki, Crybola, Crypren, Cryptear, CryptFIle2, CryptInfinite, CryptoBit, CryptoDefense, CryptoHitman, CryptoHost, CryptoJoker, CryptoLocker, CryptoMix, CryptoTorLocker2015, CryptoWall, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CTB-Locker, CTB-Locker WEB, DeCrypt Protect, DMALocker, DMALocker 3.0, EDA2 / HiddenTear, El-Polocker, Enigma, Fakben, Fury, GhostCrypt, GNL Locker, Gomasom, Gopher, Harasom, Hi Buddy!, HydraCrypt, iLock, iLockLight, Jeiphoos, Jigsaw, Job Crypter, KeRanger, KeyBTC, KEYHolder, KimcilWare, KryptoLocker, LeChiffre, Linux.Encoder, Locker, Locky, Lortok, LowLevel04, Mabouia, Magic, MaktubLocker, MireWare, Mischa, MM Locker, Mobef, NanoLocker, Nemucod, Offline ransomware, OMG! Ransomware, Operation Global III, PClock, Petya, PowerWare, PRISM, Radamant, Rakhni, Rannoh, Ransom32, Rector, RemindMe, Rokku, Samas-Samsam, Sanction, Scraper, Shujin, SkidLocker / Pompous, Sport, SNSLocker, Strictor, Surprise, SynoLocker, TeslaCrypt 0.x – 2.2.0, TeslaCrypt 3.0+, TeslaCrypt 4.1A, TeslaCrypt 4.2, TorrentLocker, Troldesh, TrueCrypter, UmbreCrypt, VaultCrypt, Virus-Encoder, Xorist, XRTN , Zcrypt, Zlader / Russian.

L'articolo Ransomware Overview, prevenzione e recupero dati in un elenco aggiornato sembra essere il primo su Ransomware Blog.

Avevamo già spiegato come decriptare il file cifrati dal ransomware TeslaCrypt dopo che i criminali avevano rilasciato le chiavi di cifratura. Pochi giorni fa Cisco ha appena rilasciato un tool gratuito e open source per decriptare qualunque versione del ransomware TeslaCrypt e AlphaCrypt. Il TALOS TeslaCrypt Decryption Tool, in versione Windows, è scaricabile da questo link o direttamente dal repository su GitHub e funziona da linea di comando.

Il tool per decifrare i documenti criptati dal trojan TeslaCrypt, sviluppato e distribuito gratuitamente da Cisco, necessita solamente del file “key.dat” dal quale ricava la master key utilizzata per cifrare i file. All’avvio, il tool TALOS TeslaCrypt Decrypter cerca il file “key.dat” nella sua posizione originaria (la directory “Application Data” dell’utente) o nella cartella corrente. Se il tool non trova il file “key.dat” interrompe la sua esecuzione restituendo un errore.

Il tool TALOS TeslaCrypt Decrypter di Cisco supporta i seguenti parametri da linea di comando:

/help – Mostra il messaggio di aiuto
/key – Specificare manualmente la master key per la decifratura (32 bytes/64 digits)
/keyfile – Specificare il percorso del file “key.dat” utilizzato per recuperare la master key
/file – Decifrare un file criptato
/dir – Decifrare tutti i file con estensione “.ecc” nella directory selezionata e nelle sottodirectory
/scanEntirePc –Decifrare tutti i file con estensione “.ecc” presenti nel computer
/KeepOriginal – Keep the original file(s) in the encryption process
/deleteTeslaCrypt – Interrompere ed eliminare il dropper TeslaCrypt (se attivo sul PC)

• La Versione 1.0 del locker è in grado di decryptare qualunque file cifrato da qualunque versione dei cryptovirus TeslaCrypt eAlphaCrypt:
• TeslaCrypt 0.x –  Cifra i file con l’algoritmo AES-256 CBC
• AlphaCrypt 0.x -Cifra i file con l’algoritmo AES-256 e cifra la chiave con le Curve Ellittiche EC
• TeslaCrypt 2.x – Come il precedente ma questo trojan cifrante usa le curve ellittiche per creare una chiave di recupero. L’applicazione è in grado di utilizzare la fattorizzazione per recuperare la chaive privata della vittima.
• TeslaCrypt 3 & 4 – Per le ultime versioni del cryptor, TALOS TeslaCrypt Decryption Tool è in grado di recuperare i file cifrati grazie al alla chiave privata EC del C&C rilasciata dagli autori del ransomware.

Miglioramenti dell’applicazione di recupero dei file criptati TALOS:

• Algoritmo di decifratura riscritto per gestire file grandi e occupare meno RAM
• Aggiunto il supporto per l’algoritmo di fattorizzazione (TeslaCrypt 2.x) per ricostruire la chiave privata della vittima
• Algoritmo per gestire e lanciare Msieve, analizzando il suo file di log
• Agigunto supporto per TeslaCrypt 3.x e 4.x
• Aggiunti algoritmi di verifica della chiave  (TeslaCrypt 2.x/3/4) per evitare di produrre file invalidi
• Argomenti da linea di comando
• Importata la chiave privata del Command & Control di  TeslaCrypt 3.x/4

Cisco precisa di eseguire un backup dei propri file criptati prima di lanciare il tool, dato che si tratta comunque di un software sperimentale fornito senza garanzie di alcun genere.

Si spera che Cisco, Kaspersky o altre case produttrici, visti questi successi, riescano a scoprire come decriptare ransomware come Cryptolocker, CTB-Locker, Locky, Crypt0l0cker, CryptXXX e i vari cryptovirus che stanno mietendo vittime in tutto il mondo.

L'articolo Come decriptare qualsiasi versione di TeslaCrypt con Cisco Talos Decryption Tool sembra essere il primo su Ransomware Blog.

Il servizio è attivo già da alcuni mesi, di recente è stato tradotto in italiano e migliorato al punto da diventare il punto di riferimento per chi vuole sapere come identificare il ransomware che ha infettato il proprio PC, criptato i propri documenti, e richiesto un riscatto tipicamente in bitcoin.

Il servizio è davvero semplice da utilizzare, si deve cliccare sull’immagine qui sopra per connettersi al sito ID Ransomware sviluppato dal MalwareHunterTeam e avere pronti a disposizione un file criptato (quindi dal contenuto illeggibile dal PC) e la richiesta di riscatto, un file che viene lasciato dal cryptovirus in genere nelle cartelle dove sono stati criptati file e documenti.

E’ necessario collegarsi al servizio ID Ransomware del Malware Hunter Team e caricare il file con la richiesta di riscatto e un file cryptato (in genere con estensione .CRYPT, MICRO, etc…) selezionandoli dal proprio PC e caricandoli utilizzando gli appositi pulsanti.

Premendo quindi sul pulsante “Carica” si otterrà una risposta del sistema che permetterà – se possibile – l’identificazione del ransomware e delle possibili maniere di decifrare i file ovviamente senza pagare nulla ai criminali che hanno infettato il PC.

Se l’identificazione ha successo, si otterrà l’informazione sul nome e tipo del ransomware che ha criptato i nostri documenti, la conferma sulla possibilità di decifrare i file e alcuni link che spiegano come decifrare i file criptati dal cryptovirus, contenenti in genere link per il download del decryptor e istruzioni su come usarlo per recuperare i file cifrati dal trojan. Ad esempio, nel caso in cui il ransomware sia il famoso TeslaCrypt (abbiamo anche spiegato qui come decifrare i file criptadi da qualsiasi versione TeslaCrypt) il servizio fornirà conferma del fatto che il ransomware è decifrabile con uno o più link ai siti dove si potranno scaricare i tool di decryptor per recuperare i propri documenti.

Nel caso in cui invece non fosse ancora stato scoperto come recuperare i file criptati dal ransomware che ha infettato il vostro PC – come ad esempio le ultime versioni di CryptXXX – il servizio fornirà indicazioni sulle pagine ove la comunità scientifica sta discutendo circa l’infezione e ove si spera che presto verranno pubblicate le soluzioni per decodificare i file e i documenti bloccati dal virus.

Ricordiamo che una comunità di ricercatori ha prodotto e tiene aggiornato un documento che raccoglie tutte le infezioni note da ransomware descrivendone le caratteristiche tecniche e le eventuali possibilità di recupero, utile da associare al servizio di ID Ransomware descritto nel presente post come guida per sapere come comportarsi in caso d’infezione.

Il file è accedibile online e si chiama Ransomware Overview, ne abbiamo parlato anche in un articolo del blog, viene aggiornato periodicamente ed è ormai diventato un punto di riferimento per le vittime da ransomware che desiderano apprendere come rimuovere i ransomware, come identificarli e quando possibile come recuperare i propri documenti, foto, fimati criptati dai trojan.

L'articolo Come identificare, rimuovere e a volte recuperare dati criptati dai ransomware sembra essere il primo su Ransomware Blog.

I ricercatori di Trend Micro segnalano l’arrivo del ransomware FLocker anche sugli Smart TV, oltre che su smartphone e tablet Android, come era già noto da tempo. Il ransomware non cripta dati né file: così come la maggior parte dei trojan per Android si limita a bloccare la home screen in modo da rendere inutilizzabile il dispositivo. Per questo motivo, è possibile rimuovere il ransomware e sbloccare il proprio televisore senza che questo lasci danni.

Lo sbarco dei cryptovirus sugli Smart TV genererà certamente un certo allarmismo soprattutto per chi non è abituato a considerare il proprio televisore un vero e proprio computer (spesso dotato anche di videocamera) e si ritroverà a cinque minuti dall’inizio della partita della sua squadra preferita con un messaggio come questo al posto del campo di gioco.

Quando il ransomware FLocker infetta un dispositivo compatibile, aspetta 30 minuti e poi si attiva, acquisendo i privilegi di amministratore, bloccando il sistema e chiedendo un riscatto, questa volta non in bitcoin ma in Gift Card iTunes, del valore di 200 dollari.

Per evitare di fare danni in zone “amiche”, all’attivazione FLocker controlla se il dispositivo della vittima è situato in alcuni paesi dell’Est Europa e in tal caso si disattiva diventando innocuo. I residenti in Kazakhstan, Azerbaijan, Bulgaria, Georgia, Ungheria, Ukraina, Russia, Armenia e Bielorussia sono quindi al sicuro…

Sul post di Trend Micro viene illustrata la modalità di rimozione tramite connessione ADB, certamente è sempre possibile e consigliabile in caso di mancanza di esperienza in ambito di rimozione malware rivolgersi al centro assistenza del produttore/distributore del proprio Smart TV.

L'articolo Il ransomware FLocker arriva sugli Smart TV sembra essere il primo su Ransomware Blog.

Nuova ondata di ransomware in lingua italiana veicolato tramite finte fatture di operatori telefonici, in questo caso Vodafone Italia, che giungono a ignare vittime tramite email con oggetto “Vodafone – Recapito Elettronico Fattura nr FI12345678” e un allegato ZIP “vodafone_fattura.zip” contenenti un file in Javascript “vodafone_fattura.js” che, se aperto, scarica il cryptovirus Crypt0l0cker, cripta i documenti presenti sul computer e chiede un riscatto in bitcoin.

Il tipo di phishing è simile a quello che diffondeva ransomware Crypt0l0cker fingendosi la Procura della Repubblica, con la differenza che in questo caso i domini utilizzati si spacciano per Vodafone Italia:

• vodafone-italia.net
• vodafone-italia.com
• vodafone-italia24.com
• vodafone-italia24.net

Il logo che compare durante il download del CryptoLocker è quello di Vodafone, così da indurre la vittima a credere che la fattura provenga effettivamente da Vodafone ma ovviamente i link per il download della fattura puntano su siti bucati che poi redirigono verso i domini mostrati sopra.

Il messaggio contenuto nelle mail di phishing è simile a quelli inviati da Vodafone:

John Doe,

ti inviamo in allegato il Conto Telefonico Completo all’interno del quale puoi trovare la Fattura nr. FI12345678 dell’importo di 146,16 euro.

Ti ricordiamo che puoi scaricare il tuo Conto Telefonico Completo nella sezione “190 Fai da te” del sito www.vodafone.it (scopri come).

Per maggiori informazioni sulle voci del tuo Conto Telefonico visita la sezione dedicata su www.vodafone.it.

Cordiali Saluti.
Servizio Clienti Vodafone

Vodafone Italia S.p.A. (di seguito “Vodafone”), è particolarmente attenta agli aspetti riguardanti la privacy dei propri clienti/utenti. Attraverso questa pagina intende descrivere le modalità di gestione del proprio sito internet e wap con riferimento al trattamento dei dati personali dei clienti/utenti che vi accedono. Si tratta di una informativa generale resa nel rispetto del Decreto Legislativo 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali” (di seguito la “Legge”) (ex Legge n. 675/1996) a coloro che consultano il sito web di Vodafone, accessibile per via telematica dai seguenti siti: http://www.vodafone.it, www.190.it e dal relativo sito wap (di seguito i “Siti”). Per la fruizione di specifici servizi da parte dei clienti/utenti, saranno di volta in volta fornite specifiche informative e richiesti, ove necessario, specifici consensi al trattamento dei propri dati personali..

Vodafone si riserva il diritto di modificare o emendare, in qualsiasi momento, la presente policy privacy soprattutto in virtù dell’entrata in vigore di nuove normative di settore. In tal caso le modifiche entreranno in vigore decorsi 15 giorni dalla data di pubblicazione sul sito. Per ulteriori informazioni su come Vodafone tutela la privacy dei Clienti consulta la sezione “Per il Consumatore” presente nei Link utili. Dal 22 novembre 2015 Vodafone Italia S.p.A. assume una nuova forma societaria e trasferisce la sua sede legale in Italia. La nuova ragione sociale è Vodafone Italia S.p.A., con sede legale in Via Jervis 13, 10015 Ivrea (Torino). Questa modifica amministrativa non comporta alcun cambiamento nei rapporti con i propri clienti.Contattaci nell’area Assistenza di Vodafone.it.

Vodafone.it | Facebook | Twitter

Come la maggior parte dei ransomware, anche questo cryptovirus cancella le shadow copies tramite il comando “vssadmin.exe Delete Shadows /All /Quiet” in modo da impedire il recupero dei file criptati.

I ricercatori non hanno ancora scoperto come decriptare i file cifrati da Crypt0l0cker, appena ci saranno novità le pubblicheremo sul Ransomware Blog, per il momento la miglior prevenzione è avere backup aggiornati dei propri dati importanti..

Per chi è interessato ad approfondire questa versione del ransomware Crypt0l0cker, qui di seguito link all’analisi (con possibilità di download) dei sample di questa campagna di trojan cifranti:

• https://www.virustotal.com/en/file/b79a351525c32c55ea069c4683274a07ce3ae3abc099d737521249bbd1760531/analysis/1466571039/
• https://www.hybrid-analysis.com/sample/5ec1629df5da73f94e429259784c7437c3f562ef115b6019364cf242c7f256fe?environmentId=100

L'articolo Attenzione alla falsa fattura Vodafone Italia: è Crypt0l0cker sembra essere il primo su Ransomware Blog.

La settimana scorsa avevamo pubblicato una informativa circa la diffusione di false fatture Vodafone che diffondono tramite phishing il cryptovirus Crypt0l0cker. Da alcuni giorni sono in circolazione email di phishing con mittente “Telecom Italia-TIM clienti@tim.it” e oggetto “Fattura TIM linea Fissa – Giugno 2016 – scadenza 25/06/2016” che informano circa l’emissione di una nuova fattura TIM di Giugno 2016 ma che, invece della fattura TIM, attivano il download di un cryptovirus.

Non si corre alcun rischio se si è semplicemente ricevuto e visualizzato il messaggio di posta, invitiamo invece a non cliccare sul link “Si prega di scaricare la fattura” perché questo attiverebbe il download di un archivio ZIP “Fattura%200039485.zip” dentro il quale è contenuto un eseguibile “mascherato” da file PDF “Fattura 0039485.pdf.exe”. Se si è cliccato sul link nessun problema, basta non aprire il file che è stato scaricato sul proprio PC e cancellarlo, rimuovendolo anche dal cestino per sicurezza.

Il dropper (cioè il programma che avvia il download del cryptovirus) è stato caricato dai delinquent su Dropbox tramite shared link, a questo indirizzo.

Il reindirizzamento verso questo indirizzo viene fatto da un sito “bucato”, CemeteryDepot.com [WBM].

Il testo completo del messaggio di posta elettronica di phishing contenente il link al CriptoVirus è il seguente:

Gentile info@ransomware.it

ti informiamo che la tua fattura TIM di Giugno 2016 relativa alla linea 0039485 è stata appena emessa ed è disponibile online.
Si prega di scaricare il fattura
Ti ricordiamo che in MyTIM Fisso nella sezione Il mio profilo puoi richiedere di ricevere la fattura TIM esclusivamente online. Risparmierai così le spese di spedizione postale.

Ti aspettiamo presto su www.tim.it
Grazie

Servizio Clienti tim.it

Attenzione:ti invitiamo a non rispondere a questo messaggio: questa casella di posta elettronica non è abilitata alla ricezione.

Chi fosse interessato ad approfondire l’analisi del sample contenente il dropper e del payload scaricato contenente il Crypto Virus può seguire i seguenti link su VirusTotal, Malwr e Hybrid Analysis.

• https://www.virustotal.com/en/file/a2392faf94aa10ab5d3b9614193d4c66b77414127d30cb1189abef7155ff5cdd/analysis/1466943323/
• https://www.hybrid-analysis.com/sample/54219aa736c0e71740dc5e185dfd754c98d6fc627ea86c4f117b44bd06970f70?environmentId=100

L'articolo Attenzione alla falsa fattura TIM, è un cryptovirus sembra essere il primo su Ransomware Blog.

Continuano ad arrivare richieste su come decriptare i file con estensione .CRYPZ o .CRYP1 rimasti sul computer dopo l’infezione da ransomware che richiede un riscatto in bitcoin. Purtroppo si tratta sempre del cryptovirus CryptXXX di cui abbiamo già parlato citando la possibilità di decifrare le prime versioni del trojan con RannohDecryptor di Kaspersky.

Purtroppo,  al momento, ancora nessuno ha scoperto come decifrare gratuitamente i file codificati in .CRYPZ e .CRYP1 dal virus CryptXXX e recuperare così i propri documenti, nonostante diversi ricercatori – incluso il team Kaspersky – siano alla ricerca di un modo di decryptare i documenti e sconfiggere il ransomware.

Dopo aver utilizzato per qualche settimana le estensioni .CRYPT, il ransomware CryptXXX ha infatti cominciato da giugno 2016 a cifrare i file appendendo al nome l’estensione .CRYPZ e .CRYP1 (talvolta indicati nei forum come .CRYPTZ e .CRYPT1) ma in sostanza la possibilità di recuperare i file criptati è la stessa, cioè al momento non si riescono a decifrare i file o a recuperare, dato che il ransomware li cancella in modo sicuro tramite wipe ed elimina anche le copie di sicurezza che Windows esegue tramite le shadow copy.

Il tool gratuito di Kaspersky per decifrare i file criptati da CryptXXX non funziona per queste versioni, né altri tool che vengono citati in rete. Sconsigliando ovviamente di pagare il riscatto in bitcoin, possiamo indicare come comportamento da seguire in caso d’infezione di mantenere copia dei documenti bloccati dal ransomware e, se possibile, tenere copia dell’intero sistema. Il tutto in attesa che esca un decryptor gratuito per le versioni con nome file .CRYPZ e .CRYP1.

I ricercatori di SentinelOne hanno pubblicato una interessante ricerca sulle nuove varianti del ransomware CryptXXX nella quale hanno analizzato alcuni aspetti tecnici ed economici del cryptovirus. E’ interessante notare, ad esempio, come il trojan utilizzi un unico indirizzo Bitcoin per ricevere i riscatti (18e372GNwjGG5SYeHucuD1yLEWh7a6dWf1) sul quale, al momento della redazione del presente articolo, sono stati versati quasi 60.000 euro di riscatto tramite 95 Bitcoin.

L'articolo File criptati con estensione crypz o cryp1: è il trojan CryptXXX sembra essere il primo su Ransomware Blog.

Durante la conferenza DFA Open Day 2016 organizzata dall’Associazione Digital Forensics Alumni, che ha avuto luogo a Milano martedì 28 giugno 2016, ho tenuto un talk congiunto insieme all’amico Avv. Giuseppe Vaciago sulle implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware. L’apertura tecnica, che è servita a inquadrare il fenomeno dei cryptovirus dal punto di vista tecnico e comportamentale, ha fatto emergere alcune domande di carattere giuridico e legale cui l’Avv. Giuseppe Vaciago ha risposto puntualmente e con grande competenza nel prosieguo dell’intervento.

Ne è uscito un quadro certamente interessante per chi ha avuto a che fare con il fenomeno dei ransomware quale sfortunata vittima, investigatore, società di servizi, Amministratore d’Azienda e persino Responsabile dell’Organismo di Vigilanza per il Dlgs. 231.

Le mie slide di apertura del talk, sulle implicazioni giuridiche del trattamento della vittima da richiesta di riscatto da parte dei ransomware, non contengono riferimenti giuridici o legali a questioni come ad esempio se è lecito pagare il riscatto in bitcoin, aiutare qualcuno a pagare o simili, ma aprono la strada alle domande cui l’Avvocato Giuseppe Vaciago risponderà nella seconda parte dell’intervento.

La seconda parte dell’intervento, davvero interessante dal punto di vista giuridico, vede l’Avv. Giuseppe Vaciago rispondere alle seguenti domande:

1. È lecito per la vittima pagare il riscatto?
2. È lecito per qualcuno aiutare la vittima a pagare il riscatto?
3. Se quel qualcuno è un exchange, come si configura la cosa?
4. Cambia se l’exchange sa che si tratta di riscatto?
5. Se il fornitore di servizio di assistenza tecnica configura una rete che il giorno dopo viene “distrutta” da un ransomware, ha qualche responsabilità?
6. Posso chiedere i danni a un dipendente che ha aperto una finta mail e ha danneggiato i dati aziendali suoi e dei PC in rete?
7. Se il ransomware venisse distribuito tramite Exploit Kit e il dipendente navigava su un sito personale, posso chiedere i danni?
8. Posso chiedere all’Assicurazione che tutela la sicurezza dei miei dati un risarcimento in caso di ransomware?
9. È ipotizzabile una violazione della normativa prevista dal D.lgs. 231/01 in caso di pagamento del riscatto?

Alcune delle informazioni citate dall’Avv. Vaciago sono state riportate da studi condotti dal Dott. Stefano Capaccioli e dall’Avv. Sandro Bartolomucci, cui si deve un doveroso ringraziamento anche da parte dei partecipanti alla conferenza per lo spunto che hanno fornito e che ha permesso di approfondire questioni normative del Bitcoin e del D.lgs  231/2001 relativamente al fenomeno dei ransomware e alle sue implicazioni giuridiche e legali.

L'articolo Implicazioni giuridiche nel trattamento dei soggetti vittime dei ransomware sembra essere il primo su Ransomware Blog.

Dopo le finte fatture Vodafone e le finte fatture TIM delle scorse settimane, da alcune ore sono in circolazione mail di phishing che si fingono bollette ENEL per la fornitura di energia elettrica e inducono le vittime a scaricare una finta fattura che in realtà consiste in un ransomware. Ricordiamo che i ransomware sono dei cryptovirus che infettano il computer, criptano i documenti della vittima “bloccandoli” e rendendoli inutilizzabili e chiedono un riscatto – in genere in bitcoin – per lo sblocco.

Le mail sono del tutto simili alle comunicazioni ufficiali ENEL, contengono riferimenti a numeri di fattura, scadenze per il pagamento e logo ENEL tale da indurre la vittima a ritenere che la fattura ENEL sia originale. Il file che viene scaricato ha il nome “ENEL_BOLLETA.zip” e contiene un malware in javascript dal nome “ENEL_BOLLETA.js”.

Invitiamo chi riceve la mail a cancellarla o inoltrarcela all’indirizzo delle segnalazioni sui ransomware, assolutamente non si deve cliccare sul link altrimenti si attiva il download del file contenente il “dropper” che scaricherà il cryptovirus sul PC, mentre l’utente visualizza una pagina di phishing che mostra il logo ENEL e la scritta “Download in corso, attendere prego”.

Se avete già scaricato il file, non apritelo anche se dal nome può sembrare una fattura: il semplice download non causa alcun danno al PC, è necessario aprire il file per attivare l’infezione. Se il file viene aperto, in pochi minuti i documenti del PC vengono criptati e l’utente visualizza sullo schermo il messaggio che comunica alla vittima che i file sono stati criptati con il virus Crypt0L0cker (“WARNING, we have encrypted your files with Crypt0L0cker virus”).

Nelle cartelle dove il cryptovirus ha cryptato i file, e sul Desktop, compare invece un file contenente i dettagli su come procedere con il pagamento del riscatto.

Gli autori del ransomware invitano la vittima a collegarsi tramite Tor Browser al sito “http://mz7oyb3v32vshcvk.onion/tlo85d8i.php” alla pagina “Buy Decryption Software” presso il quale devono autenticarsi con le credenziali indicate nel file di testo.

La pagina con la richiesta di riscatto del ransomware Crypt0L0cker che si diffonde tramite phishing ENEL verrà visualizzata in lingue diverse in base all’IP sul quale è avvenuta l’infezione. Nella versione tedesca, richiede il pagamento di circa 0.77 bitcoin, circa 499 dollari.

Nella versione italiana, ottenuta infettando un PC da IP italiano, la richiesta di riscatto è di 0.6862401, cioè 399 euro, e vengono concesse 120 ore, cioé 5 giorni per il pagamento, prima che il riscatto raddoppi e salga a 798 euro.

Sul sito ONION del ransomware Crypt0L0cker, visitabile tramite Tor Browser, è presente una piattaforma di ticketing e supporto per il cliente (cioè la vittima…)  per aiutarlo a pagare il riscatto in bitcoin e a gestire la decifratura dei propri file in caso di problemi con il pagamento”o persino nel caso in cui la vittima voglia pagare ma non sappia come.

Qui di seguito i riferimenti alle analisi sul dropper del ransomware che si trasmette tramite la finta fattura ENEL:

• https://www.virustotal.com/en/file/10de84feb8481cf0e4feb47227f388ebb34f4e5588b5993337313dd9c98fbd90/analysis/1467811960/
• https://www.hybrid-analysis.com/sample/9d4df5b1dba596c54988b8becbca5ccbdc7060fe75e437f4689c8df246509bc3?environmentId=100
• https://malwr.com/analysis/OTAyMGY2MTRlNzMzNGIwODhkYzYwNzA2NzczNmRiOTg/

Di seguito le analisi sul payload del ransomware che si diffonde attraverso falsa bolletta ENEL:

• https://www.virustotal.com/en/file/244304b5938af17fe82137846dab8f8e42edee24e084a1704a63e150f219cb74/analysis/
• https://www.hybrid-analysis.com/sample/244304b5938af17fe82137846dab8f8e42edee24e084a1704a63e150f219cb74?environmentId=100
• https://malwr.com/analysis/ZWE5MmY0NmRlZmM5NDc3YTg3MjNiMDI0MDQ0NGMxYmE/

L'articolo Attenzione alla falsa fattura ENEL: è il ransomware Cryptolocker sembra essere il primo su Ransomware Blog.

I ricercatori Cisco hanno scoperto, alcuni giorni fa, una nuova infezione di cryptovirus che cifra i file aggiungendo l’estensione “.ZEPTO” e chiede un riscatto in bitcoin. Il ransomware si diffonde tramite spam di messaggi di posta elettronica di phishing che citano presunti documenti, fatture o scannerizzazioni in formato DOCM o ZIP presenti in allegato invitando la vittima ad aprirli.

Nei primi giorni di diffusione sono state identificate diverse migliaia di varianti del dropper, inviate a decine di migliaia di indirizzi e cominciano ad arrivare le prime segnalazioni di vittime i cui PC sono stati infettati dal trojan ZEPTO e che si ritrovano tutti i loro documenti criptati con estensione “.ZEPTO”.

Come mostra un’ottima analisi svolta da Antonio Cocomazzi sul blog SecurityAffairs, il ransomware Zepto è molto simile al ransomware Locky, in termini di comportamento, codice e pagina di richiesta di riscatto in bitcoin. I ricercatori Cisco hanno anche pubblicato una lista di hash rilevata nei primi giorni di diffusione del trojan, per permettere agli amministratori di sistema di impostare dei filtri sugli allegati e ai ricercatori di studiare il fenomeno.

Per entrambi i cryptovirus, Locky e Zepto, al momento non è disponibile alcun decryptor gratuito, non sono state vulnerabilità che permettono quindi di decifrare i file gratuitamente e recuperare i propri dati. Non appena i ricercatori scopriranno come decifrare i file con estensione ZEPTO aggiorneremo il Ransomware Blog.

Per chi desidera eseguire analisi tecniche su un sample del ransomware o visualizzare le analisi tecniche svolte dai sistemi di VM online, qui di seguito riporto i link del dropper e del payload:

Analisi sample del dropper del ransomware ZEPTO

• https://www.hybrid-analysis.com/sample/ed65cc52a5c65b52d4c0c9624888c26a04294f48ef3c5d464401333d07e38801?environmentId=100
• https://malwr.com/analysis/ZWIzZGZhNmNhNmM3NDU3YTg5ZmZhODA5M2FjOTU1ODU/
• https://www.virustotal.com/en/file/ed65cc52a5c65b52d4c0c9624888c26a04294f48ef3c5d464401333d07e38801/analysis/

Analisi di un campione di payload del cryptovirus ZEPTO

• https://www.hybrid-analysis.com/sample/ae0f64395eff7ff5a663701271d77a495a19076e890e596cb9d2237aaf0f317a?environmentId=100
• https://malwr.com/analysis/NjYxZTE2YTk2NTAxNGQwZTkyM2UyNWU1ZWQ1YWEwYmY/
• https://www.virustotal.com/en/file/ae0f64395eff7ff5a663701271d77a495a19076e890e596cb9d2237aaf0f317a/analysis/

L'articolo Ampia diffusione del cryptovirus Zepto, erede di Locky sembra essere il primo su Ransomware Blog.

Trend Micro ha pubblicato da alcuni giorni il tool RansomwareFileDecryptor, un decryptor in grado di decifrare file criptati da diversi ransomware, che va ad aggiungersi al TeslaCryptDecryptor già disponibile da tempo. Il tool è in grado di recuperare file criptati da diverse versioni di cryptovirus, incluse (anche se in modo parziale) alcune varianti recenti del trojan CryptXXX oltre al noto TeslaCrypt in qualunque versione e alcuni trojan minori come SNSLocker, AutoLocky, BadBlock, 777, XORIST e XORBAT.

Il tool RansomwareFileDecryptor può essere scaricato da questo link, mentre la versione precedente del tool, TeslaCryptDecryptor, è disponibile a questo link.

Il tool RansomwareFileDecryptor di Trend Micro è in grado di decifrare file criptati dai seguenti ransomware:

• CryptXXX V1, V2, V3* [nome file cifrato: {nome originale del file}.crypt, crypz, o 5 caratteri esadecimali]
• TeslaCrypt V1** [nome file cifrato: {nome originale del file}.ECC]
• TeslaCrypt V2** [nome file cifrato: {nome originale del file}.VVV, CCC, ZZZ, AAA, ABC, XYZ]
• TeslaCrypt V3 [nome file cifrato: {nome originale del file}.XXX o TTT o MP3 o MICRO]
• TeslaCrypt V4 [il nome del nome file cifrato e l’estensione non cambiano]
• SNSLocker [nome file cifrato: {nome originale del file}.RSNSLocked]
• AutoLocky[nome file cifrato: {nome originale del file}.locky]
• BadBlock [il nome del nome file cifrato e l’estensione non cambiano]
• 777 [nome file cifrato: {nome originale del file}.777
• XORIST [nome file cifrato: {nome originale del file}.xorist o estensione casuale]
• XORBAT [nome file cifrato: {nome originale del file}.crypted]

* La decifratura dei file CryptXXX V3 potrebbe essere incompleta e recuperare soltanto una parte del file

** Utilizzare il tool “TeslacryptDecryptor 1.0.xxxx MUI” per i file cifrati da TeslaCrypt V1 e V2 files. Entrambi i tool invece supportano le versioni V3 e V4.

Le istruzioni dettagliate su come utilizzare il tool sono disponibili a questo link [WBM]. In particolare, vale la pena leggere le istruzioni su come decifrare i documenti criptati dal ransomware CryptXXX V3 dato che vi sono diverse limitazioni.

Trend Micro avvisa infatti che il tool RansomwareFileDecryptor tenta di decifrare a ripristinare alcuni formati di Microsoft Office come DOC, DOCX, XLS, XLSX, PPT e PPTX, che risulteranno avere il testo “_fixed” aggiunto al nome del file dopo la decifratura. Aprendo i file con Microsoft Office, si potrebbe ottenere un messaggio che chiede di riparare il file e questo potrebbe permettere di recuperare i file, senza però alcuna garanzia, in quanto in alcuni casi il processo potrebbe fallire. Il ripristino di altri tipi di file invece, quando soltanto parzialmente decifrati, potrebbe richiedere l’utilizzo di strumenti di terze parti, come ad esempio JPEGSnoop per i JPG.

L'articolo Ransomware File Decryptor decifra parzialmente anche CryptXXX V3 sembra essere il primo su Ransomware Blog.

I ricercatori di AVG hanno reso disponibile un decryptor gratuito per le vittime del ransomware Bart, un cryptovirus che cifra i documenti delle vittime raccogliendoli in archivi ZIP compressi e criptati, chiedendo poi il riscatto alle vittime in bitcoin.

Il decryptor della casa produttrice di antivirus AVG per i file cifrati dal ransomware Bart e gratis e il suo utilizzo è semplice ma è necessario essere in possesso di almeno un file non criptato, di cui si è subita la cifratura. Il sistema confronta i due file – quello in chiaro e quello criptato – cercando tramite attacco di tipo brute force di recuperare la chiave di cifratura.

Una volta trovata la password con cui il ransomware Bart ha criptato i file, tramite il free decryptor di AVG, la si potrà utilizzare per decifrare tutti gli altri file criptati dal malware, così da rientrare in possesso dei propri documenti, foto e quanto il trojan ha “bloccato” con il suo intervento.

L'articolo Tool di decryption gratuito per il ransomware Bart sembra essere il primo su Ransomware Blog.

Consigliamo ai nostri lettori un interessante progetto, chiamato “No-More-Ransom” e disponibile pubblicamente sul sito www.nomoreransom.org, che mira ad aiutare le vittime del ransomware a recuperare i loro dati cifrati dai trojan senza pagare il riscatto ai criminali e a divulgare informazioni chiave per prevenire le infezioni e proteggere i propri computer e la propria rete informatica dai cryptovirus, fenomeno ormai in costante crescita in tutto il mondo.

Il progetto No More Ransom è un’iniziativa congiunta di Forze dell’Ordine e privati, in particolare al momento hanno dato avvio al gruppo di ricerca il National High Tech Crime Unit (NHTCU) della Polizia Olandese, l’European Cybercrime Centre di Europol e due aziende che si occupano di cybersecurity Kaspersky Lab e Intel Security.

Così come per altri progetti che mirano a fornire indicazioni su come identificare e rimuovere i ransomware e recuperare i dati cifrati, anche sul sito “No More Ransom” è presente un modulo di segnalazione per le vittime da ransomware, tramite il quale è possibile inviare al team due file criptati e la richiesta di riscatto così da poter ricevere informazioni su eventuali decryptor disponibili gratuitamente

Poiché è più facile evitare la minaccia dei ransomware piuttosto che correre ai ripari tentando di decifrare i documenti criptati, il progetto mira anche a educare gli utenti sul funzionamento dei ransomware e punta alla prevenzione fornendo alcuni consicli su come prevenire l’infezione da ransomware.

Sostanzialmente, i sei consigli su come prevenire un’infezione da ransomware ed evitare che i propri documenti vengano criptati sono i seguenti:

1. Fare backup che permettano di ripristinare i dati o l’intero sistema, possibilmente in due posti diversi, sul cloud e su un disco da mantenere però sconnesso dal PC;
2. Utilizzare un antivirus con funzione di ricerca euristica, in grado talvolta di rilevare nuove infezioni ancora non identificate;
3. Mantenere i software e il Sistema Operativo costantemente aggiornati;
4. Non fidarsi dei messaggi di posta o di link su siti web sospetti anche se provengono da amici o contatti fidati;
5. Abilitare la funzione “Mostra estensioni dei file” su Windows, così da identificare potenziali minacce come file eseguibili mascherati da PDF (es. “fattura.pdf.exe”);
6. In caso d’infezione, sconnettere il PC dalla rete cablata e wifi, per evitare di contagiare altre macchine

Per chi si chiede a chi sia intestato il dominio nomoreransom.org, la risposta è che è stato registrato una decina di giorni fa, il 14 luglio 2016, intestato direttamente a Europol, come si evince dai dati del whois:

Domain Name: NOMORERANSOM.ORG
Domain ID: D189364082-LROR
WHOIS Server:
Referral URL: http://www.key-systems.net
Updated Date: 2016-07-21T13:37:14Z
Creation Date: 2016-07-14T08:24:27Z
Registry Expiry Date: 2017-07-14T08:24:27Z
Sponsoring Registrar: Key-Systems GmbH
Sponsoring Registrar IANA ID: 269
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Registrant ID: CNS4136560369
Registrant Name: C Sullivan
Registrant Organization: Europol
Registrant Street: Eisenhowerlaan 73
Registrant City: The Hague
Registrant State/Province: Zuid Holland
Registrant Postal Code: 2517KK
Registrant Country: NL
Registrant Phone: +31.703025000
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: c115@europol.europa.eu
Admin ID: IYN209108212
Admin Name: IT NOC
Admin Organization: COMPAREX Nederland B.V.
Admin Street: Naritaweg 177
Admin City: Amsterdam
Admin State/Province: Noord-Holland
Admin Postal Code: 1043 BW
Admin Country: NL
Admin Phone: +31.202586800
Admin Phone Ext:
Admin Fax: +31.202586801
Admin Fax Ext:
Admin Email: info@comparex.nl
Tech ID: IYN209108212
Tech Name: IT NOC
Tech Organization: COMPAREX Nederland B.V.
Tech Street: Naritaweg 177
Tech City: Amsterdam
Tech State/Province: Noord-Holland
Tech Postal Code: 1043 BW
Tech Country: NL
Tech Phone: +31.202586800
Tech Phone Ext:
Tech Fax: +31.202586801
Tech Fax Ext:
Tech Email: info@comparex.nl
Name Server: NS-1487.AWSDNS-57.ORG
Name Server: NS-1548.AWSDNS-01.CO.UK
Name Server: NS-223.AWSDNS-27.COM
Name Server: NS-933.AWSDNS-52.NET
DNSSEC: unsigned

L'articolo Nasce il progetto “No More Ransom” sembra essere il primo su Ransomware Blog.

I ricercatori di Bleeping Computer hanno segnalato la diffusione di un nuovo ransomware che si fa chiamare “Hitler-Ransonware” e, invece di criptare i file e chiedere un riscatto in bitcoin come la maggior parte dei cryptovirus, minaccia di cancellare i file se la vittima non fornisce un codice di ricarica Vodafone Card da 25 euro.

Il trojan non sembra scritto da professionisti e contiene persino un errore nel nome: “ransoNware” dovrebbe essere scritto “ransoMware”, errore su cui cade buona parte dei non madrelingua inglese. Tecnicamente non si tratta di altro che un file batch (il codice è disponibile a questo link [WBM]) convertito in eseguibile che come prima cosa rimuove le estensioni dei file del PC della vittima e mostra una schermata che minaccia la cancellazione dei file entro un’ora se non viene pagata la somma di 25 euro tramite un codice di ricarica Vodafone Card. Dopo un’ora, il PC viene mandato in crash e riavviato e, al riavvio, viene eseguito un codice che cancella i file della vittima.

Dai commenti presenti nel file batch si evince, oltre al fatto che l’autore è probabilmente tedesco, che la versione del ransomware distribuita in questi giorni è un test che potrebbe quindi mutare nel tempo:

Das ist ein Test
besser gesagt ein HalloWelt
copyright HalloWelt 2016
:d by CoolNass
Ich bin ein Pro
fuer Tools für Windows

In italiano significa:

Questo è un test
piuttosto un Hello World
copyright Hello World 2016
: D by CoolNass
Sono un professionista
degli applicativi per Windows

Durante la sua esecuzione, il ransomware controlla ciclicamente la presenza di processi con nomi come “taskmgr”, “utilman”, “sethc”, o “cmd” e, se li trova attivi, li interrompe, così da evitare di poter essere bloccato dall’utente che si è accorto di essere stato infettato.

Come suggerisce Bleeping Computers, per ransomware come questi può essere utile impostare Windows in modo che non si riavvii automaticamente in caso di crash (l’opzione si trova nelle Impostazioni di Sistema) così da evitare il reboot che attiva la vera e propria cancellazione dei file.

Chi è interessato a un’analisi tecnica del trojan può trovare un sample e l’esecuzione del codice in VM ai seguenti link:

• https://www.virustotal.com/en/file/06c8e0f6fa2616f4fa92c610a1faea23887ac31db8fa78cede49b6b8c80ec22f/analysis/1470566199/
• https://malwr.com/analysis/NzI0MGU2YWQ0ZWY4NDExNDk0M2MwN2E3MjhlODZhMTA/https://
• www.reverse.it/sample/06c8e0f6fa2616f4fa92c610a1faea23887ac31db8fa78cede49b6b8c80ec22f?environmentId=100

L'articolo Hitler, il ransomware che cancella file e chiede 25 euro di ricarica sembra essere il primo su Ransomware Blog.

Un paio di giorni fa, mentre mi tenevo aggiornato con gli ultimi post su Twitter, un tweet di @malwrhunterteam ha catturato la mia attenzione.

Un programma, proponendosi quale strumento per la verifica della genuinità del Sistema Operativo, avverte che la copia installata di Windows non è attivata, e sono necessarie alcune informazioni personali per procedere all’attivazione.

Il dubbio iniziale sulla sua genuinità è generato anche dalla presenza, nel programma, di una firma digitale valida e verificata:

E’ l’inizio di un’analisi che, a partire da un programma apparentemente innocuo e genuino, ha portato a scoprire quello che, nella nostra esperienza di analisti, è lo spyware più complesso che ci sia capitato di analizzare.

Quest’articolo mostrerà l’analisi effettuata e le tecniche utilizzate dallo spyware. Alla fine verranno fornite delle indicazioni semplici che aiuteranno anche i meno esperti a capire quando un programma avvia delle azioni indesiderate sul Personal Computer e come difendersi.

Analisi:

La prima fase dell’analisi è sempre visuale. All’apparenza questo programma emula in toto una richiesta di attivazione del sistema operativo Microsoft Windows, compreso il Product Key, il codice di licenza, è reale e preso dal nostro sistema.

Il logo, però, fa sorgere il primo dubbio.

Microsoft ha cessato l’utilizzo di quel logo anni fa, con Windows XP.

Anche i dettagli dell’eseguibile celano delle imperfezioni: Il nostro spyware, a sinistra, ha il copyright errato rispetto alla normale forma usata da Microsoft. Inoltre Microsoft al momento della compilazione utilizza sempre un linguaggio specifico, come si può vedere a destra. Infine, il campo “Legal Trademarks” in un eseguibile Microsoft è mancante.

Lo spyware, per poter passare inosservato è firmato digitalmente. Come si può vedere, però, fra i firmatari digitali non è presente Microsoft, ma una certa “DesignerWare”. Ecco il certificato:

Molto diverso da un file firmato digitalmente da Microsoft:

Inizialmente ho pensato a dei certificati digitali rubati, come già accaduto in passato, ad esempio con il malware APT Duqu.

Il collega @malwrhunterteam ha trovato la risposta su Internet, partendo dal nome della società.

Designerware è la società produttrice di un software, chiamato PC Rental Agent, che veniva solitamente installato su Personal Computer a noleggio o con la formula “Rent to Own”, vale a dire il pagamento del costo del noleggio con la finalità dell’acquisto quando il costo totale del noleggio ha raggiunto il prezzo di mercato deciso dal venditore. Lo scopo? Permettere una migliore gestione e più facile pulizia del computer al ritorno in sede o il suo blocco in caso di furto o mancato pagamento.

Dov’è la novità, si dirà quindi.

Come vedremo a breve, il programma spia va ben oltre le funzionalità previste da contratto, arrivando a registrare immagini del proprio schermo, catturare informazioni sulla cronologia della navigazione Internet, sulla connessione WiFi, la pressione di qualsiasi tasto fino all’attivazione della webcam con invio a server remoti dello stream video.

Per queste ragioni gli era stato ordinato di fermarsi già nel 2012. Purtroppo, non l’hanno fatto.

Potete leggere i dettagli di questa storia qui, qui, e qui (in inglese). Qui la loro versione dei fatti.

Attualmente la società sembra essere ancora attiva, con un proprio sito Web e una pagina Facebook.

Anche il loro contestato prodotto sembra essere ancora in vendita, con un sito web ad-hoc e piani di abbonamento fino a 430 dollari annuali.

Queste le caratteristiche ufficiali del programma, nel 2016:

• Hotkey di backup – restore, per cancellare i dati prima di restituire il PC.
• Utility di riparazione del disco.
• Clonazione fra computer
• Utility di recupero password

Analisi:

Lo spyware è scritto in .NET Framework 4.0, compilato, secondo il timestamp il 9 Marzo 2016.

Può essere avviato anche con dei parametri, ognuno dei quali attiva una caratteristica:

Ad esempio, il parametro –c abilità la possibilità di scattare foto con la webcam, o il parametro –l effettua il log di tutte le operazioni.

Recuperare il codice sorgente in questo caso è stato molto semplice. Non è stato nemmeno offuscato.

Offuscare il codice normalmente rischia di produrre dei “falsi positivi” da parte di software antivirus.

L’interfaccia principale mostra una falsa richiesta di attivazione Windows, ma il programma è realizzato per mostrare anche altre richieste. Qui un esempio del programma che chiede l’attivazione per Internet Explorer:

Altre finte richieste di attivazione sono generate per Microsoft Office, Yahoo e la verifica di un certificato digitale:

Una volta avviato il programma  è impossibile chiuderlo. Utilizzando una tecnica di maschere sovrapposte viene negato l’accesso ad ogni oggetto sul desktop. L’unica combinazione funzionante è Ctrl + Alt + Canc, che riporta comunque alla precedente condizione. L’unica scelta possibile dal programma è effettuare lo spegnimento del sistema.

Cliccando sulla X per uscire, viene visualizzato un messaggio d’errore:

All’avvio inoltre raccoglie alcune informazioni base sul sistema e crea un file, chiamato “masteraclini.enu”, sul desktop e nella cartella C:\ProgramData\Microsoft\Microsoft® Windows® Operating System\6.1.5911.33557

I due file differiscono. Questo è il contenuto del file nella cartella ProgramData:

[Key]
TestWrite=2272054636068026490541286
TotalSent=5
Display=5
LastFlush=5703
Last2=5703
Last3=5703
WebCamContinous=1
Last4=5704

Se avviato con il parametro –l il programma crea un file chiamato “Detective.log” nel percorso: C:\ProgramData\Microsoft Corporation\BIOS Drivers for Windows

Questo è un contenuto d’esempio iniziale, senza aver ancora immesso alcuna informazione:

===== 13/08/2016 23:08:21 ======
Header: DETECTIVE:
Message: Internet connection found [86]
DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD
Stolen property information Started
Version: 1.6.3
Logging: 1
gvLogFile: 1
KeyLogger: True
StartPath: C:\Users\Ethereal\Desktop
DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD

===== 14/08/2016 20:30:02 ======
Header: DETECTIVE:
Message: Main loop starting now
===== 14/08/2016 20:30:02 ======
Header: DETECTIVE:
Message: Internet connection found [86]

L’ultima stringa è fondamentale: Il programma infatti funziona soltanto se rileva una connessione ad Internet funzionante.

La verifica viene fatta tramite un webservice presente sul server di destinazione per cui strumenti quali iNETSim o Fakenet, utilizzati dagli analisti per simulare la presenza di una connessione internet, non funzionano.

Se la connessione non riesce, e il logging è abilitato, queste informazioni vengono scritte nel file Detective.log

Message: Finished setting the prompt screen in case it is needed
===== 14/08/2016 20:36:57 ======
Header: DETECTIVE:
Message: Activity discoverd!
===== 14/08/2016 20:36:57 ======
Header: DETECTIVE:
Message: Now sending email!
===== 14/08/2016 20:36:58 ======
Header: DETECTIVE: ERROR SENDING email
Message: Got an error tring to send report!

URL: http://ws4.trilockapps.com/eservices/service.asmx
LvReturn: False
Unable to connect to the remote server
===== 14/08/2016 20:36:58 ======
Header: DETECTIVE:
Message: Sleeping now

TRILOCKAPPS.COM, secondo le informazioni contenute nel database WHOIS, è un server registrato a nome della società Designerware.

Registry Registrant ID: 
Registrant Name: DesignerWare
Registrant Organization: DesignerWare
Registrant Street: 108 Hutchinson
Registrant City: North East
Registrant State/Province: PA
Registrant Postal Code: 16428
Registrant Country: US
Registrant Phone: +1.8147254380
Registrant Phone Ext: 
Registrant Fax: +1.8147254380
Registrant Fax Ext: 

A quanto pare invece, il webmaster ha qualcosa a che vedere con il capitano Achab:

Registry Admin ID:

Admin Name: Dick, Moby
Admin Organization: American Legion
Admin Street: 108 Hutchinson
Admin City: North East
Admin State/Province: PA
Admin Postal Code: 16428
Admin Country: US
Admin Phone: +1.8147254380
Admin Phone Ext: 
Admin Fax: +1.8147254380

Un Reverse WHOIS mostra che Designerware ha un buon numero di siti registrati.

Di questi, sei sono utilizzati dallo spyware:

Se la connessione non riesce sui server di default, è presente una lista di server alternativi:

Se tutte le informazioni sono inserite correttamente, il programma verifica tra le altre cose se è attiva la registrazione dei tasti premuti:

Prosegue poi con una sorta di profilazione del personal computer assegnandogli un codice univoco, da utilizzare con un programma presumibilmente interno alla società, chiamato Find4Me.

Tutto viene inviato poi ai loro server, tramite una richiesta POST su Webservice:

Il payload è codificato in Base64. Il campo “s6” sono le informazioni raccolte dal mio computer, inclusi i tasti digitati e lo screenshot del mio display. I campi s2, s3 ed s4 sono criptati.

Ulteriori operazioni altamente lesive della privacy, ritrovate nello spyware includono:

• Registrazione continua dello streaming della webcam.

• Localizzazione GPS.

• Enumerazione della connessione Wi-Fi

Il programma, nella sua versione completa, installa anche dei driver, disponibili per le versioni a 32 e 64 bit (quest’ultima possibile grazie alla firma digitale).

Conclusione:

Indubbiamente si tratta dello spyware più complesso che io abbia mai analizzato.

Ci si domanda come sia possibile che attualmente solo SEI soluzioni antivirus identifichino il file come malware, nella categoria dei Keylogger (ma abbiamo visto come è in grado di fare ben altro).

Il tentativo di camuffarsi da eseguibile di Microsoft Windows, catturando, senza alcun preavviso o consenso, informazioni sensibili capaci anche di localizzare la propria abitazione o luogo di lavoro confermano le pratiche illecite perseguite dalla società Designerware.

L’attività illegale, che avrebbe dovuto essere cessata già quattro anni fa, verrà sicuramente segnalata anche alla Certification Authority che ha registrato il certificato digitale dell’applicazione, in modo che un ulteriore campanello d’allarme venga segnalato dal Sistema Operativo.

Le probabilità che un utente inserisca delle informazioni sono comunque molto alte, data l’invasività del programma.

Anche se vengono inserite informazioni false, il programma raccoglierà comunque i dati sensibili dal computer.

Il programma prevede, in alcuni casi, anche l’attivazione nascosta.

Il consiglio pertanto, nel caso si dovessero notare attività sospette, come l’accensione della propria webcam senza motivo o il programma dovesse essere inavvertitamente avviato sul proprio computer, di procedere allo spegnimento del computer.

Successivamente, riaccenderlo con il cavo di rete o il Wi-Fi scollegato e procedere alla rimozione, anche affidandosi ad un esperto.

Analisi Virustotal: https://www.virustotal.com/it/file/79d8da20242d4c3cec6e8c0f7f74d107003e8b444a0556f243c8741481d85e2d/analysis/

Analisi Sandbox Hybrid:

https://www.hybrid-analysis.com/sample/79d8da20242d4c3cec6e8c0f7f74d107003e8b444a0556f243c8741481d85e2d?environmentId=100

Autore: Daniele Mondelli

Indipendent Security Researcher & Malware Analyst

L'articolo RegistrationKey. Storia e analisi di uno spyware che si traveste da Registrazione di Windows. sembra essere il primo su Ransomware Blog.