Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Aggiornamenti sul ransomware (16 giugno 2016)

FLocker  JIGSAW  RAA  ransomware   giovedì, 16 giugno 2016

In questo articolo vengono riassunte brevemente le notizie di maggior rilievo riguardanti i malware appartenenti alla categoria del ransomware pubblicate nella seconda settimana di giugno del 2016 da siti specializzati in sicurezza informatica e altre fonti attendibili selezionate.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Indice delle notizie

Il ransomware per Android FLocker infetta anche le Smart TV

Gli esperti di sicurezza di Trend Micro hanno scoperto una variante del ransomware per Android FLocker in grado di infettare e bloccare anche le Smart TV.

Da quando è stato identificato nel maggio del 2015, FLocker (abbreviazione di “Frantic Locker”) ha subito innumerevoli sviluppi e variazioni con lo scopo di rendere questo malware più efficace e più difficile da individuare ed analizzare. L’ultima variante di FLocker è un trojan simile ad altri di questo tipo, come Cyber.Police, che si spacciano per fantomatiche agenzie di law enforcement statunitensi. Il malware mostra alle potenziali vittime un messaggio in cui le si accusa di crimini che non hanno commesso e richiede per sbloccare il dispositivo un riscatto di 200$ sotto forma di codici di carte regalo di Apple iTunes.

Schermata di blocco di FLocker su Smart TV

Figura 1 – La schermata di blocco di FLocker su Smart TV (Fonte: Trend Micro)

Anche se al momento non è del tutto chiaro il meccanismo con cui questo malware può infettare dispositivi diversi da smartphone e tablet, stando a quanto riportato da Trend Micro non vi sono grandi differenze dal punto di vista tecnico tra una variante di FLocker per dispositivi mobili e una in grado di colpire le Smart TV.

Fonte: Trend Micro

Nuova variante di JIGSAW colloquia con le vittime via chat

È stata individuata una variante del crypto-ransomware JIGSAW che, invece di indirizzare le sue vittime su un sito nel Dark Web, preferisce comunicare con loro attraverso una vera e propria chat (vedi Figura 2), nell’evidente tentativo di rendere più agevole il processo di pagamento del riscatto e, allo stesso tempo, più proficuo il modello di business di questo tipo di estorsioni informatiche.

Chat di Jigsaw

Figura 2 – La schermata di chat di JIGSAW (Fonte: Trend Micro)

Per implementare il servizio di chat i creatori di questa variante di JIGSAW hanno utilizzato onWebChat, una piattaforma Web pubblicamente disponibile. Apparentemente, i cyber criminali impiegano del personale che risponde in tempo reale alle domande degli “utenti”, dando loro tutte le istruzioni necessarie per pagare la somma richiesta (minimo 150$ in bitcoin) ed ottenere la chiave per decifrare i file presi in ostaggio dal ransomware.

Fonte: Trend Micro

RAA: un nuovo ransomware sviluppato interamente in JavaScript

Ricercatori di sicurezza indipendenti hanno scoperto un nuovo ransomware, battezzato RAA, che è composto al 100% da codice JavaScript.

Per impostazione predefinita, l’implementazione standard di JavaScript non include alcuna funzione di crittografia avanzata. Per aggirare il problema e poter cifrare i file dell’utente utilizzando l’algoritmo AES, gli sviluppatori di RAA hanno utilizzato la libreria pubblica CryptoJS del Google Code Project.

RAA viene distribuito in forma di allegati ad Email malevole. Si tratta di file JavaScript mascherati da documenti Word, con nomi come “mgJaXnwanxlS_doc_.js”. Se viene lanciato, il malware cifra i file sul computer e richiede un riscatto di 0,39 bitcoin (circa 255€) per poterli recuperare. Inoltre, a rendere le cose peggiori, RAA installa sul computer della vittima anche il malware per il furto di password Pony estraendolo dal proprio codice.

Quando la vittima fa doppio clic sul file JS, RAA genera un falso documento di Microsoft Word nella cartella dei Documenti con un nome del tipo “doc_attached_[caratteri casuali]”. Questo documento viene automaticamente aperto per far credere alla vittima che l’allegato sia in qualche modo danneggiato. A questo punto il malware effettua una scansione in background per rilevare tutti i dischi connessi alla macchina sui quali l’utente corrente ha accesso in scrittura e avvia la propria funzione di cifratura.

Questo ransomware cifra i file con le seguenti estensioni, aggiungendovi l’estensione “.locked”:

.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar, .csv

Durante la scansione del sistema, RAA esclude i file che contengono nel nome le stringhe “.locked”, “~” e “$” o sono memorizzati nelle seguenti cartelle:

  • Programmi
  • Programmi (x86)
  • Windows
  • Recycle.Bin
  • Recycler
  • AppData
  • Temp
  • ProgramData
  • Microsoft

Infine, il ransomware crea sul desktop il file “!!!README!!![id].rtf” contenente la richiesta di riscatto ([id] è un identificativo univoco assegnato alla vittima). Il testo della nota è in Russo (vedi Figura 3).

Nota di riscatto di RAA

Figura 3 – La nota di riscatto in Russo di RAA (Fonte: Bleeping Computer)

Il file JS viene quindi impostato per l’avvio automatico, in modo che venga eseguito ogni volta che la vittima effettua il login in Windows. Questo meccanismo consente al malware di cifrare anche i nuovi documenti che sono stati creati dopo l’ultimo accesso.

Al momento non vi è alcun modo per decifrare gratuitamente i file presi in ostaggio da questo ransomware. RAA cancella anche le copie shadow di Windows per impedire il recupero dei file.

Fonte: Bleeping Computer

Notizie correlate

“Anatova”: nuova minaccia ransomware colpisce anche in Italia

28 gennaio 2019

I ricercatori di sicurezza di McAfee hanno individuato la nuova famiglia di ransomware Anatova, ritenuta una seria minaccia per il prossimo futuro.Leggi tutto

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto