Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il nuovo ransomware PyLocky colpisce paesi europei

PyLocky  ransomware   martedì, 11 settembre 2018

I ricercatori di sicurezza di Trend Micro hanno scoperto PyLocky, un nuovo esemplare di ransomware avente come bersagli paesi europei, con forte prevalenza di Germania e Francia.

PyLocky non ha nulla a che vedere con il il famigerato Locky, anche se ne imita la nota di riscatto. Questo ransomware è scritto con il linguaggio di scripting Python e compilato con PyInstaller, un tool che consente di creare eseguibili autonomi da programmi Python.

A partire dalla fine di luglio sono state osservate numerose campagne di distribuzione di PyLocky mediante Email malevole con oggetti relativi a fatture di pagamento da scaricare. Le Email contengono link diretti a siti da cui viene scaricato un archivio in formato ZIP (ad es., “Facture_23100.31.07.2018.zip”) che contiene un eseguibile firmato digitalmente che a sua volta scarica sul PC della vittima diversi componenti del malware, tra cui alcune librerie C++ e Python, la DLL Python 2.7 Core e il componente eseguibile principale del ransomware, chiamato “lockyfud.exe”. Tutti questi componenti vengono memorizzati in “C:\Users\[nome utente]\AppData\Local\Temp\is-[stringa casuale].tmp”.

Una volta eseguito, PyLocky sfrutta il componente Windows Management Instrumentation (WMI) per controllare le caratteristiche del sistema infetto. Come parte delle sue tecniche di evasione, se la memoria totale visibile del sistema è inferiore a 4GB, PyLocky resta dormiente per un periodo di tempo di 999.999 secondi, pari a circa 11 giorni e mezzo. La funzione di cifratura dei file viene eseguita solamente se il sistema è dotato di almeno 4GB di RAM.

PyLocky utilizza l’algoritmo 3DES implementato dalla libreria PyCrypto e cifra tutti i file con le seguenti estensioni:

.dat, .keychain, .sdf, .vcf, .jpg, .png, .tiff, .gif, .jpeg, .jif, .jp2, .jpx, .j2k, .j2c, .fpx, .pcd, .bmp, .svg, .3dm, .3ds, .max, .obj, .dds, .psd, .tga, .thm, .tif, .yuv, .ai, .eps, .ps, .svg, .indd, .pct, .mp4, .avi, .mkv, .3g2, .3gp, .asf, .flv, .m4v, .mov, .mpg, .rm, .srt, .swf, .vob, .wmv, .doc, .docx, .txt, .pdf, .log, .msg, .odt, .pages., .rtf, .tex, .wpd, .wps, .csv, .ged, .key, .pps, .ppt., .pptx, .xml, .json, .xlsx, .xlsm, .xlsb, .xls, .mht, .mhtml, .htm, .html, .xltx, .prn, .dif, .slk, .xlam, .xla, .ods, .docm, .dotx, .dotm, .xps, .ics, .mp3., .aif, .iff, .m3u, .m4a, .mid, .mpa, .wav, .wma, .msi, .php, .apk, .app, .bat, .cgi, .com, .asp, .aspx, .cer, .cfm, .css, .js, .jsp, .rss, .xhtml, .c, .class, .cpp, .cs, .h, .java, .lua, .pl, .py, .sh, .sln, .swift, .vb, .vcxproj, .dem, .gam, .nes, .rom, .sav, .tgz, .zip, .rar, .tar, .7z, .cbr, .deb, .gz, .pkg, .rpm, .zipx, .iso, .ged, .accdb, .db, .dbf, .mdb, .sql, .fnt, .fon, .otf, .ttf, .cfg, .ini, .prf, .bak, .old, .tmp, .torrent

Questo ransomware aggiunge ai file cifrati l’estensione “.lockedfile “.

Dopo la fase di cifratura, PyLocky stabilisce un canale di comunicazione con il server C&C, al quale invia le informazioni sul sistema infetto precedentemente raccolte.

La nota di riscatto di PyLocky (vedi immagine) è scritta in Inglese, Francese, Coreano e Italiano, la qual cosa suggerisce che l’Italia potrebbe rientrare tra i prossimi bersagli di questo ransomware.

Pylocky ransomware

La nota di riscatto di PyLocky (fonte: Trend Micro)

Il post originale di Trend Micro contiene un’analisi più dettagliata di questo malware, inclusi svariati IoC. La capacità di individuazione di PyLocky da parte dei più diffusi antivirus risulta piuttosto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

17 settembre 2018

È stata scoperta una nuova variante della famiglia di ransomware Dharma che appende l'estensione ".brrr" ai file cifrati.Leggi tutto

Il nuovo exploit kit Fallout distribuisce il ransomware GandCrab

7 settembre 2018

Sono state recentemente individuate campagne che sfruttano l'exploit kit Fallout per distribuire il ransomware GandCrab, altri trojan, falsi antivirus e versioni malevole di Flash Player. Leggi tutto