Locky Ransomware

Locky è un malware della famiglia dei Ransomware, che utilizza come vettore di diffusione file di Word con delle macro, spesso ricevuti come allegati a messaggi di posta elettronica aventi come oggetto Fattura oppore Ordine.

La semplice apertura del file non è sufficiente ad innescare l’azione del malware, perchè il file .doc non infettato direttamente dal Ransomware, ma è infettato da una macro che una volta attivata si occupa di scaricare il malware ed avviarlo iniziando la crittografia dei file contenuti sul proprio sistema.

I file crittografati vengono rinominati con l’estensione .locky e nel desktop viene creato un file _Locky_recover_instructions.txt contente le istruzioni per avere la chiave di decrittazione, naturalmente dopo aver pagato in BitCoint.

I file oggetto della crittografia hanno estensione:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Il malware utilizza la crittografia AES a 128 bit con chiave pubblica RSA a 2048bit, ed agisce su tre tipi di dispositivi: fissi (hard disk), dispositivi rimovibili (chiavette USB ed Hard Disk esterni) e ramdisks (condivisioni di rete).

Una curiosità su questo ransomware è che genera una statistica sul numero di file crittografati e li invia al server di riferimento dei gestori dell’attacco.

Per garantirsi una protezione più efficace occorre utilizzare una protezione contro lo spam, ed una protezione antimalware complessa come la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

TeslaCrypt 4.0

Dopo la grande epidemia di infezioni di TeslaCrypt 3.0 avuta fra i mesi di gennaio e febbraio la nuova versione TeslaCrypt 4.0 è stata rilevata in questi ultimi giorni.

Il vettore dell’infezione è sempre una mail di spam, che si presenta come un fattura o un ordine, contenente un allegato in formato .ZIP che al suo interno contiene un file JavaScript (trojan) che una volta eseguito si occupa di scaricare il malware, che procederà alla crittografia dei file importanti presenti sul disco e sulle aree di rete condivise.

Mentre le versioni precedenti di questo malware aggiungevano le estensioni “.micro”, “.mp3”, “.ecc, “.ezz”, “.exx”, “.xyz”, “.zzz”, “.aaa”, “.abc”, “.ccc” o “vvv” al nome del file, quest’ultima variante lascia inalterato il nome del file, rendeno più difficile il riconoscimento dell’infezione.

L’unica possibilità per capire se il file è stato attaccato è verificare se nell’header del file compaiono le tracce della crittografia

offset size Description
 ————————————–
 0x000 8 0x0000000000000000
 0x008 8 %IDHEX%
 0x010 8 0x0000000000000000
 0x018 65 PublicKeyRandom1_octet
 0x059 32 AES_PrivateKeyMaster
 0x079 31 Padding 0
 0x098 65 PublicKeySHA256Master_octet
 0x0D9 3 0x000000
 0x0DC 65 PublicKeyRandom2_octet
 0x11D 32 AES_PrivateKeyFile
 0x13D 31 Padding 0
 0x15C 16 Initialization vector for AES
 0x16C 4 Size of original file
 AES 256 CBC

inoltre vengono creati dei file, con dei nomi casuali, con le istruzioni per sbloccarli:

%UserProfile%\Desktop\RECOVER[5_chars].html
%UserProfile%\Desktop\RECOVER[5_chars].png
%UserProfile%\Desktop\RECOVER[5_chars].txt
%UserProfile%\Documents\[random].exe
%UserProfile%\Documents\recover_file.txt

Dalle istruzioni su come ottenere il riscatto dei file troviamo alcune informazioni utili a comprendere l’azione del malware.

Il malware utilizza la crittografia AES con chiave pubblica RSA a 4096bit, inoltre è stato risolto un bug presente nelle versioni precedenti, in cui i file con dimensione superiore a 4GB nella fase di crittografia venivano danneggiati.

Questo malware ha delle caratteristiche che rischiano di mimetizzarne l’impatto per un lungo periodo, e rendere difficoltoso il recupero da un backup poiché i nomi dei file non vengono modificati.

Alcune tecniche di mitigazione del rischio consistono nel bloccare l’elenco degli indirizzi IP dei server da cui avviene il download del malware, ma questa tecnica espone ancora ad importanti rischi, ai criminali basterebbe aggiungere un nuovo server.

Maktub Ransomware

Maktub è un malware della famiglia del ransomware, che utilizza come vettore di diffusione i messaggi email di spam, aventi come contenuto una informativa sulle nuove condizioni del servizio e sulla privacy da consultare nel documento allegato in formato .ZIP che contiene all’interno un .RTF.

Il malware una volta che è stato attivato, per essere più rapido, effettua prima una operazione di compressione e successivamente effettua la crittografia. I file crittografati, risulteranno avere una estensione modificata a caso utilizzando caratteri minuscoli dalla “a” alla “z” [a-z] e numeri compresi fra 4 e 6 {4,6}

La crittografia utilizza le funzioni crittografiche Windows Crypto API, già incluse nel sistema operativo.

la chiave pubblica RSA a 2048 bit è codificata all’interno del malware, mentre la chiave base viene generata al momento, una funzione genera 32 byte casuali, di cui viene calcolato il rispettivo HASH MD5, che viene convertito nella chiave a 256bit necessaria ad AES per iniziare la crittografia.

In questa maniera nessuna chiave viene trasferita tra la vittima ed il server di gestione del malware, che possiede già la chiave privata RSA, mentre la chiave base viene fornita dalla vittima quando richiede lo sblocco.

Terminata la crittografia dei file compare la tipica per la richiesta di un “riscatto”, la tariffa, espressa come sempre accade in questi casi in BitCoin aumenta nel caso il pagamento non sia tempestivo.

Come accade frequentemente in questi malware, vengono introdotte delle esclusioni, in questo caso il malware non produce nessun effetto se layout della tastiera è impostato sull’id 1049, quello russo. Inoltre vengono escluse dalla crittografia la cartelle:

"\\internet explorer\\;\\history\\;\\mozilla\\;\\chrome\\;\\temp\\;\\program files\\;\\program files (x86)\\;\\microsoft\\;\\chache\\;\\chaches\\;\\appdata\\;"

Questa versione del ransomware ha elementi caratteristici che lo rendono pericoloso nel breve-medio periodo, in particolare ha la tendenza ad essere il meno identificabile possibile, nessuna interazione diretta con i server per lo scambio delle chiavi, le estensioni dei file crittografati cambiano dinamicamente, l’utilizzo di funzioni già presenti nel sistema operativo.

Tuttavia la presenza della chiave pubblica embedded nel codice può renderla vulnerabile e la probabilità che questa possa essere compromessa cresce nel tempo, ma chi è disposto ad aspettare qualche anno per riavere i propri dati gratis?

Proteggersi è molto più conveniente, scopri la soluzione di protezione Kaspersky contro le infezioni da Ransomware, all’avanguardia contro ogni tipo di cyber criminalità.

Cryptolocker attacca wordpress e joomla

Il defacement dei siti web è una pratica che da diverso tempo viene osservata, ma nelle ultime settimane si sono registrati dei casi di CryptoLocker che attaccano direttamente i siti web costruiti in WordPress e Joomla.

La nuova strategia mostra un salto di qualità, il tipico defacement consisteva nel cambio degli elementi della homepage e serviva a pubblicizzare il gruppo autore dell’attacco, ora invece l’attacco è costruito per chiedere un riscatto, tipico dei casi di CryptoLocker.

La pericolosità di questo attacco si riassume in tre elementi:

Elevata diffusione delle piattaforme wordpress e joomla: molte aziende e siti di commercio elettronico si basano su queste piattaforme.
Basso costo dell’attacco (ed alta resa): solitamente è possibile acquistare per qualche centinaio di dollari lo script che permette l’attacco, l’investimento è ad alta resa, infatti bastano pochi “riscatti” per portare in attivo l’attività.
Scarsa attenzione sistemitistica: i gestori dei siti wordpress sono sicuramente più interessati ad i temi grafici che non ad installare regolarmente le patch e questo espone a rischi molto importanti.

Il principale suggerimento è tenere tracciate le vulnerabilità dei software utilizzati e provvedere ad installare le patch il più urgentemente possibile

La tecnologia Kaspersky efficace nel bloccare il CryptoLocker

Una delle minacce più diffuse e temute è CryptoLocker (ransomware).
Di questa famiglia di minaccia siamo kaspersky già arrivati alla 3 generazione ed inizia a presentarsi qualche esemplare talmente evoluto da poter affermare di essere di fronte alla 4 generazione.

Inoltre iniziano a diffondersi malware CryptoLocker anche per sistemi operativi non Microsoft, ad esempio per Linux e Mac.

La protezione da CryptoLocker deve basarsi su due pilastri, il primo impedire al malware di arrivare, e questo è solitamente avviene tramite un buon antispam, il secondo invece è riuscire a bloccare il funzionamento nel caso il malware sia comunque entrato.

Kaspersky ha sviluppato delle tecnologie che rendono inefficace il funzionamento del CryptoLocker nel caso il malware non fosse identificabile con le tecniche di rilevazione.
Nel dettaglio il modulo più efficace è il modulo “Application Privilege Control”.

Questo modulo funziona in collaborazione con il servizio cloud Kaspersky KSN, valuta per ciascuna applicazione se la firma di quel eseguibile è considerata collegata ad una applicazione fidata. Se l’applicazione non è fidata gli vengono tolti i privilegi di esecuzione, ad esempio lettura e scrittura sul file system.

Nel caso di una variante recentissima di cryptolocker, la firma dell’applicazione non sarà considerata fidata, se anche dovesse sfuggire l’individuazione dell’analisi euristica e l’applicazione dovesse partire, si ritroverebbe ad essere reso inoffensivo perché non avrebbe i privilegi di scrittura su disco.

Il secondo modulo che interviene è System Watcher, che tiene sotto controllo loggando le operazioni svolte sui file di sistema da applicazioni non fidate, e permettendo un rollback dei file di sistema completo in caso l’applicazione sotto osservazione si rivelasse un malware.

Argonavis è a vostra disposizione per fornirvi ulteriori informazioni su aspetti tecnici e commerciali, ed illustrarvi la convenienza nel proteggere i vostri sistemi con la tecnologia Kaspersky.

Richiedi Informazioni

Categorie