Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il nuovo ransomware WhiteRose colpisce in Europa

ransomware  WhiteRose   lunedì, 9 aprile 2018

I ricercatori di sicurezza del MalwareHunterTeam hanno individuato un nuovo esemplare di ransomware denominato WhiteRose, basato sulla famiglia InfiniteTear, di cui fanno parte altri ransomware, tra cui BlackRuby e Zenis.

Al momento il canale di diffusione di WhiteRose non è noto, anche se alcune testimonianze di utenti infetti riportano come vettore di attacco servizi di desktop remoto compromessi. Al momento, questo ransomware sembra diffuso per lo più in Europa, con forte prevalenza della Spagna.

Una volta lanciato sul PC della vittima, WhiteRose verifica come prima cosa se esiste già sul sistema un file chiamato “C:\Perfect.sys”, contenente la stringa “Part of Microsoft Windows”. In caso positivo, il malware semplicemente interrompe l’esecuzione, altrimenti crea il file, che ha la funzione di indicatore di infezione.

Una volta verificato che la macchina bersaglio non è già stata compromessa, WhiteRose dà inizio alla fase di scansione e di cifratura dei file. Questo ransomware cifra tutti i file con le seguenti estensioni:

.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .ARC, .PAQ, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .back , .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .c , .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf , .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .cs , .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db3, .db_journal, .dbf, .dbf , .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk , .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg , .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ora , .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt , .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip, .3dm, .onetoc2

WhiteRose non cifra i file contenuti nelle seguenti cartelle:

  • Windows
  • Program Files
  • $Recycle.Bin
  • Microsoft

I file cifrati vengono rinominati con una serie di caratteri casuali seguita dalla stringa con estensione “_ENCRYPTED_BY.WHITEROSE” (ad esempio “6zyaqFcPJaeJATyA_ENCRYPTED_BY.WHITEROSE”).

Durante la fase di scansione, WhiteRose memorizza in ogni cartella contenente file cifrati il file “HOW-TO-RECOVERY-FILES.TXT”che contiene l’immagine di una rosa in ASCII Art (vedi immagine), la chiave univoca della vittima, una lunga storia dai toni poetici e, infine, le istruzioni su come pagare il riscatto richiesto connettendosi ad un sito sulla rete anonima TOR.

WhiteRose

Il testo completo della nota di riscatto di WhiteRose è contenuto nel seguente file allegato (indirizzi offuscati):

Al termine della fase di cifratura, il ransomware esegue comandi specifici sul sistema per cancellare le copie shadow di Windows, disabilitare la funzione di riparazione automatica al riavvio (Windows Startup Repair) ed eliminare i log degli eventi di sistema. Infine, il malware elimina sé stesso dal sistema.

Stando a quanto riportato nel post originale di Bleeping Computer, è disponibile un tool per decifrare gratuitamente i file presi in ostaggio da questo ransomware. Si noti che l’efficacia di tale strumento non è stata verificata dal CERT Nazionale e non vi è alcuna garanzia che possa funzionare in tutti i casi. La capacità di individuazione di WhiteRose da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Il ransomware Data Keeper disponibile come RaaS nel Dark Web

27 febbraio 2018

È stato recentemente individuato Data Keeper, un nuovo esemplare di ransomware attivo in-the-wild, offerto gratuitamente come RaaS nel Dark Web.Leggi tutto

Il nuovo ransomware Saturn attivo in-the-wild

19 febbraio 2018

Ricercatori di sicurezza hanno individuato Saturn, un nuovo esemplare di ransomware attivo in-the-wild, anche se il vettore di distribuzione non è al momento noto.Leggi tutto

SpriteCoin: il ransomware travestito da criptovaluta

26 gennaio 2018

Gli esperti di Fortinet hanno individuato un nuovo esemplare di ransomware che si spaccia per portafoglio di una fantomatica criptovaluta chiamata SpriteCoin.Leggi tutto