Il mese di Marzo ci porta una nuova ondata di email contenenti il dropper del CryptoLocky.
Dopo alcune settimane dalla sua prima apparizione, CryptoLocky è tornato a cifrare i file di documenti in .Locky, chiedendo un riscatto di ben 3 BTC.
Il C.R.A.M. di TG Soft ha riscontrato un massivo invio di e-mail contenenti dropper del CryptoLocky di 2 tipologie.
1° Tipo: Falsi avvisi di ritardata consegna relativo ad un "fantomatico" ordine con in allegato una falsa copia d'ordine avente struttura come nell'immagine sottostante.
La prima tipologia di finte e-mail arrivano da un mittente sconosciuto e hanno come oggetto "Delay with Your Order #<numero>, Invoice #<numero>":
Delay with Your Order #1629ADCD, Invoice #44196947
Clicca per ingrandire l'immagine
Il corpo del messaggio è in lingua inglese:
Dear Valued Customer,
It is very unpleasant to hear about the delay with your order #<numero>, but be sure that our department will do its best to resolve the problem. It usually takes around 7 business days to deliver a package of this size to your region.
The local post office should contact your as soon as they will receive the parcel. Be sure that your purchase will be delivered in time and we also guarantee that you will be satisfied with our services.
Thank you for your business with our company.
Kaye Herman
Sales Manager
L'allegato è un file .ZIP il cui nome inizia per "order_copy_" seguito dal numero d'ordine:
order_copy_1FE21D34.zip
All'interno del file .zip, vi troviamo il dropper in JavaScript:
statistics_<casuale>.js
important_<casuale>.js
Il file .JS è circa sui 5 KB (dipende dal dropper)
2° Tipo: Falsi avvisi di invio file o link avente struttura come nell'immagine sottostante.
La seconda tipologia di finte e-mail arrivano dal mittente "documents@<dominio_destinatario>" e hanno come oggetto "Emailing: MX62EDO 01.03.2016".
Clicca per ingrandire l'immagine
Il corpo del messaggio è in lingua inglese:
Your message is ready to be sent with the following file or link
attachments:
MX62EDO 01.03.2016 SERVICE SHEET
Note: To protect against computer viruses, e-mail programs may prevent
sending or receiving certain types of file attachments. Check your e-mail
security settings to determine how attachments are handled.
---
This email has been checked for viruses by Avast antivirus software.
https://www.avast.com/antivirus
L'allegato è un file .ZIP il cui nome inizia per "MX62EDO20160301" seguito da un numero:
MX62EDO201603016735093.zip
All'interno del file .zip, vi troviamo il dropper in JavaScript con nome casuale:
CH8041585235.js.
MG6859783386.js
Il file .JS è circa sui 5 KB (dipende dal dropper)
Il corpo del messaggio è impaginato in modo ragionevolmente ordinato, ma essendo redatto in lingua inglese, soprattutto se non avete fatto acquisti esteri e non avete rapporti con la società indicata, è ragionevole EVITARE di APRIRE/ESEGUIRE l'allegato della mail!!!
Le mail che abbiamo avuto modo di analizzare (tipologia n. 1) sembrerebbero essere diverse le une dalle altre, sebbene mantengano la medesima struttura e, si spera, per i motivi segnalati, non dovrebbero indurre nella tentazione di aprire/eseguire l'allegato che, agli occhi dell'utente, sembrerebbe essere un ordine ma è ben altro:
order_copy_1629ADCD.zip
All'interno vi è un file JavaScript .js che in realta va a scaricare e a eseguire il CryptoMalware chiamato CryptoLocky alias LockyCripter.
E' Assolutamente da EVITARE l'apertura/esecuzione dell'ALLEGATO che scatena la crittografazione dei file di dati in .Locky del PC / SERVER come anche nelle cartelle con questo condivise.
Quando viene aperto il file "statistics_<casuale>.js " o "important_<casuale>.js", verrà eseguito uno scripto che andrà a scaricare ed eseguire un file eseguibile con nome casuale contenente il CryptoLocky.
Il file eseguibile con nome casuale, si copierà nella cartella %temp% dell'utente con nome reflexResolution.scr
A questo punto CryptoLocky esegue la cancellazione delle "shadow copy" con il comando: vssadmin.exe Delete Shadows /All /Quiet
Fatto ciò, esegue una serie di thread in parallelo per la criptazione dei documenti (nella nostra macchina di test ne aveva eseguiti 13).
Il malware CryptoLocky cripterà ogni file con le seguenti estensioni:
.m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .qcow2 .vdi .vmdk .vmx .gpg .aes .ARC .PAQ .tar .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .djv .djvu .svg .bmp .png .gif .raw .cgm .jpeg .jpg .tif .tiff .NEF .psd .cmd .bat .sh .class .jar .java .rb .asp .cs .brd .sch .dch .dip .pl .vbs .vb .js .h .asm .pas .cpp .c .php .ldf .mdf .ibd .MYI .MYD .frm .odb .dbf .db .mdb .sql .SQLITEDB .SQLITE3 .011 .010 .009 .008 .007 .006 .005 .004 .003 .002 .001 .pst .onetoc2 .asc .lay6 .lay .ms11(Security copy) .ms11 .sldm .sldx .ppsm .ppsx .ppam .docb .mml .sxm .otg .odg .uop .potx .potm .pptx .pptm .std .sxd .pot .pps .sti .sxi .otp .odp .wb2 .123 .wks .wk1 .xltx .xltm .xlsx .xlsm .xlsb .slk .xlw .xlt .xlm .xlc .dif .stc .sxc .ots .ods .hwp .602 .dotm .dotx .docm .docx .DOT .3dm .max .3ds .xml .txt .CSV .uot .RTF .pdf .XLS .PPT .stw .sxw .ott .odt .DOC .pem .p12 .csr .crt .key wallet.dat
Il CryptoLocky andrà a criptare tutti i documenti rinominandoli con nome casuale e estensione .Locky.
I file con estensione .Locky avranno nome <ID della vittima><casuale>.locky
Esempio:
1DD6FF20B0293D341C12403B3C699ADF.locky
1DD6FF20B0293D348FE972E2C3923FEC.locky
I file di documentu originali verranno dopo complentamente sovrascritti con il carattere "U" e cancellati.
Il malware modifica le seguenti chivi di registro per mettersi in esecuzione automatica:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[Locky] = %temp%\reflexResolution.scr
Terminata la crittografazione dei file CryptoLocky crea il file _Locky_recover_instructions.txt contenente le istruzioni per il riscatto, che riportiamo di seguito:
!!! INFORMAZIONI IMPORTANTI!!!!
Tutti i tuoi file sono stati criptati con algoritmo asimettrico RSA-2048 e algoritmo simmetrico AES-128.
Ulteriori informazioni sugli algoritmi sono disponibili su:
http://it.wikipedia.org/wiki/RSA
http://it.wikipedia.org/wiki/Advanced_Encryption_Standard
La decriptazione dei tuoi file è possibile solo con la chiave privata e il programma di
decriptazione che si trova sul nostro server segreto.
Per ricevere la tua chiave privata vai a uno dei seguenti link:
1. http://i3ezlvkoi7fwyood.tor2web.org/EF423B59EA8A7266
2. http://i3ezlvkoi7fwyood.onion.to/EF423B59EA8A7266
3. http://i3ezlvkoi7fwyood.onion.cab/EF423B59EA8A7266
Se nessuno dei precedenti indirizzi è disponibile, segui i passaggi successivi:
1. Scarica e installa Tor Browser: https://www.torproject.org/download/download-easy.html
2. Dopo la corretta installazione, avvia il browser e attendi l’inizializzazione.
3. Nella barra degli indirizzi digita: i3ezlvkoi7fwyood.onion/EF423B59EA8A7266
4. Segui le istruzioni a video.
!!! Il tuo numero d’identificazione personale è: EF423B59EA8A7266 !!!
Modifica l'immagine del desktop in _Locky_recover_instructions.bmp:
Crea la seguente chiave di registro:
HKEY_CURRENT_USER\Software\Locky:
[id] = id della vittima
[pubkey] = chiave pubblica RSA
[paytext] = informazioni del riscatto
[completed] = se vale 1 allora ha completato la criptazione di tutto il disco
Quando il CryptoLocky ha completato tutto il disco, il malware modifica la chiave di registro "pending rename file" per cancellarsi al successivo riavvio del computer, lasciando solamente le istruzioni per il riscatto.
Il riscatto richiesto da CryptoLocky
I file che vengono crittati da CryptoLocky per essere decrittografati necessitano del pagamento di un riscatto di 3,00 BitCoin.
Come proteggersi da CryptoLocky
Come regola generale, non bisogna mai dimenticarsi, che dietro ogni link o ogni allegato di ogni mail può celarsi un malware o un Crypto-Malware.
Buona norma sarebbe evitare di cliccare su link o su allegati di e-mail che giungano da sconosciuti ma anche da persone che sembrano conosciute ma dalle quali non attendavamo ne allegati ne altro. Se distrattamente abbiamo eseguito l'allegato che scatena l'inferno di questa nuova famiglia di Crypto-Malware chiamato CryptoLocky e si è clienti Vir.IT eXplorer PRO sarà possibile ripristinare i file eventualmente crittografati dall'attacco da Vir.IT BackUp se correttamente configurato ed utilizzato.
Per mettere al sicuro il Vostro prezioso lavoro Vi invitiamo a procedere con la massima sollecitudine, nel caso non l'aveste ancora fatto, a configurare ed attivare Vir.IT BackUp (http://www.tgsoft.it/italy/news_archivio.asp?id=588) di modo da avere sempre disponibile un backup recente protetto dalla cifratura/crittografazione anche da eventuali Crypto-Malware di nuova generazione come questo.
Come comportarsi per mitigare i danni derivanti da CryptoLocky
Come segnalato per gli altri Crypto-Malware è opportuno, appena ci si accorge della crittografazione dei dati in atto, procedere a:
SCOLLEGARE il cavo di rete LAN per evitare che il Crypto-Malware possa accidentalmente crittografare unità di rete (NAS, Server, etc.)
NON riavviare la macchina per evitare che il Crypto-Malware possa re-iniziare a crittografare i file al successivo avvio del computer; nel caso in cui dovesse riavviarsi la macchina conviene spegnerla e tenerla spenta fino a quando non ci si metterà in contatto con il supporto tecnico di TG Soft ai numeri 049/631748049/631748 e 049/632750049/632750 dal Lunedì al Venerdì 8.30-12.30 / 14.30-18.30
Con la release 8.1.13 di giovedì 18 febbraio è stato adeguato l'automa euristico-comportamentale integrato in Vir.IT eXplorer PRO in grado di bloccare nella fase iniziale dell'attacco anche CryptoLocky ed eventuali sue varianti, come già accade per le famiglie/tipologie quali: CryptoLocker; CTB-Locker; CryptoWall; CryptoEncoder; VaultCrypt; Crypto.FF e molti altri meno noti alla maggior parte dei non addetti ai lavori.
Dettagli sistemistici per rendere operativo l'aggiornamento del motore di Vir.IT eXplorer PRO
Si segnala che il semplice ARRESTO del sistema e successiva RI-ACCENSIONE in particolare per S.O. Windows 10 come anche per Windows 8 e 8.1 non permettono l'aggiornamento del motore di scansione di Vir.IT eXplorer PRO come avviene per eventuali aggiornamenti di qualsiasi altro applicativo.
Per rendere operativo su tutte le installazioni di Vir.IT eXplorer PRO sia sui PC ma, anche e, soprattutto sui SERVER, sarà necessario procedere al RIAVVIO dei PC / SERVER come mostrato nell'immagine a destra procedendo a cliccare nell'ordine su:
l'icona della finestra stilizzata di Windows 10 (angolo in basso a sinistra del desktop);
l'icona di spegnimento dell'apparato con la voce "Arresta";
la voce "Riavvia il sistema".
Nell'immagine sottostante la successione dei pulsanti in Windows 8.1 che permettono di effettuare correttamente il RIAVVIO del Sistema necessario per il corretto completamento di qualsiasi procedura di installazione software quindi anche l'aggiornamento del motore di Vir.IT eXplorer PRO.
Considerazioni finali
Ci preme sottolineare che i Crypto-Malware sono estremamente difficili da identificare poichè, avendo un forte ritorno economico per i cyber-criminali, questi hanno tutto l'interesse di creare sempre nuove varianti delle famiglie già note per non essere identificate dai più comuni antivirus in uso di modo da alimentare quanto più possibile questo tentativo di truffa/ricatto, come anche creare nuove tipologie/famiglie con un sistema di attacco e crittografazione file diversificato e sempre più complicato.
Da queste semplici considerazioni riteniamo sia opportuno suggerire di effettuare sistematicamente delle copie di backup almeno settimanale, se non giornaliero, almeno per quanto riguarda i file di dati principali del vostro lavoro.
Vir.IT BackUp è una tecnologia di BackUp avanzata integrata in Vir.IT eXplorer PRO progettata per garantire dalla crittografazione, con ragionevole certezza, i file di Backup da questo generati da attacchi Crypto-Malware anche di nuova generazione.
Configurando Vir.IT BackUp per eseguire l'aggiornamento pianificato del file di backup sulle cartelle ove l'utente archivia i file di dati di giornaliero utilizzo, nel caso di attacco Crypto-Malware anche di nuova
generazione o loro varianti, vi sarà la ragionevole aspettativa di preservare, almeno questi file, dalla crittografazione e quindi poter procedere al ripristino dei file dal backup più recente.
I file di backup generati da Vir.IT BackUp saranno garantiti:
da maldestri tentativi di cancellazione di questi file da parte di qualche utente sbadato;
dalla modifica dei file di backup anche da agent informatici come i Crypto-Malware;
la preservazione dei file di backup dalla cancellazione o dalla modifica/crittografazione è garantita dalla corretta installazione di Vir.IT eXplorer PRO.
Per concludere, visto il progressivo incremento della diffusione di varie tipologie di Crypto-Malware che si sono susseguite tra dicembre 2015, gennaio e febbraio 2016, consigliamo a tutti i clienti di Vir.IT eXplorer PRO che non l'avessero ancora fatto, di procedere:
alla configurazione di Vir.IT BackUp sulle cartelle che ospitano i file di dati di uso quotidiano come file di testo (.DOC; .ODT etc. etc.), file di fogli di calcolo (.XLS; etc. etc.), file di dBase (.MDB, etc. etc.), file di immagini (.JPG; .BMP; .GIF; etc. etc.) e ogni cartella con file di dati frutto del vostro lavoro;
a schedulare/pianificare l'aggiornamento dei file di backup con frequenza giornaliera di modo da avere disponibili copie dei file di lavoro aggiornate al giorno precedente di modo da rendere minime le modifiche ai file di dati effettuate dalla data dell'ultimo backup disponibile al momento di un eventuale attacco Crypto-Malware di nuova generazione.
Come ultima raccomandazione di buon senso "NON rimandate MAI a domani quello che si doveva fare IERI poichè, già oggi, potrebbe essere troppo tardi...", quindi è bene procedere alla configurazione di Vir.IT BackUp finché si è ancora in tempo !
Configurare e schedulare/pianificare temporalmente l'aggiornamento dei file di backup generati da Vir.IT BackUp è molto facile.
Per farlo consultare l'informativa riguardante Vir.IT BackUp:
23/04/2014 15:34:38 - E' arrivata la stagione di proteggere i Vostri dati più preziosi con Vir.IT Backup
TG Soft - Relazioni Esterne