Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il nuovo ransomware WhiteRose colpisce in Europa

ransomware  WhiteRose   lunedì, 9 aprile 2018

I ricercatori di sicurezza del MalwareHunterTeam hanno individuato un nuovo esemplare di ransomware denominato WhiteRose, basato sulla famiglia InfiniteTear, di cui fanno parte altri ransomware, tra cui BlackRuby e Zenis.

Al momento il canale di diffusione di WhiteRose non è noto, anche se alcune testimonianze di utenti infetti riportano come vettore di attacco servizi di desktop remoto compromessi. Al momento, questo ransomware sembra diffuso per lo più in Europa, con forte prevalenza della Spagna.

Una volta lanciato sul PC della vittima, WhiteRose verifica come prima cosa se esiste già sul sistema un file chiamato “C:\Perfect.sys”, contenente la stringa “Part of Microsoft Windows”. In caso positivo, il malware semplicemente interrompe l’esecuzione, altrimenti crea il file, che ha la funzione di indicatore di infezione.

Una volta verificato che la macchina bersaglio non è già stata compromessa, WhiteRose dà inizio alla fase di scansione e di cifratura dei file. Questo ransomware cifra tutti i file con le seguenti estensioni:

.1, .123, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .602, .7z, .7zip, .ARC, .PAQ, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .advertisements, .aes, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .apk, .arw, .asc, .asf, .asm, .asp, .aspx, .asx, .avhd , .avi, .awg, .back, .back , .backup, .backupdb, .bak, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .brd, .bz2, .c, .c , .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .conf , .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .cs , .csh, .csl, .css, .csv, .ctl , .dac, .dat, .db, .db3, .db_journal, .dbf, .dbf , .dbx, .dc2, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .disk , .dit, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dwg , .dxb, .dxf, .dxg, .edb, .eml, .eps, .epub, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .html, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4u, .m4v, .mail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .myi, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrg, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ora , .orf, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .ovf, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pmf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt , .pptm, .pptx, .prf, .ps, .ps1, .psafe3, .psd, .pst, .ptx, .pvi, .pwm, .py, .pyc, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sd0, .sda, .sdf, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .vbox, .vbs, .vcb, .vcd, .vdi, .vfd, .vhd, .vhdx, .vmc, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsd, .vsdx, .vsv, .wab, .wad, .wallet, .wav, .wb2, .wk1, .wks, .wma, .wmv, .work, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xvd, .ycbcra, .yuv, .zip, .3dm, .onetoc2

WhiteRose non cifra i file contenuti nelle seguenti cartelle:

  • Windows
  • Program Files
  • $Recycle.Bin
  • Microsoft

I file cifrati vengono rinominati con una serie di caratteri casuali seguita dalla stringa con estensione “_ENCRYPTED_BY.WHITEROSE” (ad esempio “6zyaqFcPJaeJATyA_ENCRYPTED_BY.WHITEROSE”).

Durante la fase di scansione, WhiteRose memorizza in ogni cartella contenente file cifrati il file “HOW-TO-RECOVERY-FILES.TXT”che contiene l’immagine di una rosa in ASCII Art (vedi immagine), la chiave univoca della vittima, una lunga storia dai toni poetici e, infine, le istruzioni su come pagare il riscatto richiesto connettendosi ad un sito sulla rete anonima TOR.

WhiteRose

Il testo completo della nota di riscatto di WhiteRose è contenuto nel seguente file allegato (indirizzi offuscati):

Al termine della fase di cifratura, il ransomware esegue comandi specifici sul sistema per cancellare le copie shadow di Windows, disabilitare la funzione di riparazione automatica al riavvio (Windows Startup Repair) ed eliminare i log degli eventi di sistema. Infine, il malware elimina sé stesso dal sistema.

Stando a quanto riportato nel post originale di Bleeping Computer, è disponibile un tool per decifrare gratuitamente i file presi in ostaggio da questo ransomware. Si noti che l’efficacia di tale strumento non è stata verificata dal CERT Nazionale e non vi è alcuna garanzia che possa funzionare in tutti i casi. La capacità di individuazione di WhiteRose da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Scoperta nuova variante del ransomware GandCrab

24 aprile 2018

È stata recentemente individuata in-the-wild una nuova variante del noto ransomware GandCrab diffusa principalmente mediante Email malevole. Leggi tutto