Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Nuova variante del ransomware Dharma utilizza l’estensione “.brrr”

Dharma  Dharma Brrr  ransomware   lunedì, 17 settembre 2018

Il ricercatore di Avast Jakub Křoustek ha scoperto una nuova variante della famiglia di ransomware Dharma, evolutasi a partire dal 2016 dal codice di CrySiS. 

Il ransomware Dharma viene di norma installato manualmente su macchine esposte su Internet mediante la funzionalità Servizi Desktop Remoto (RDS) di Microsoft. Gli attaccanti eseguono scansioni della rete alla ricerca di computer con il servizio RDS attivo, in genere sulla porta TCP 3389, e tentano di ottenere l’accesso mediante attacchi a forza bruta o utilizzando credenziali compromesse.

Una volta installato su un PC, la nuova variante di Dharma cifra i file dell’utente sui dischi locali, sui dischi di rete mappati, sui dischi condivisi di macchine virtuali e sulle condivisioni di rete non mappate. Ai file cifrati viene appesa un’estensione del tipo “.id-[id].[email].brrr”, dove “[id]” è un identificativo univoco e “[email]” è l’indirizzo di posta elettronica al quale la vittima dovrebbe scrivere per ottenere le istruzioni per il pagamento del riscatto.

Si noti che, a differenza di altre versioni note di questo ransomware, che utilizzano per lo più l’estensione “.dharma”, questa nuova variante appende l’estensione finale “.brrr”. Per questo motivo a questa variante viene fatto riferimento anche come Brrr Dharma, Dharma Brrr o anche solo Brrr ransomware.

Una volta cifrati i file della vittima, Dharma Brrr crea due diverse note di riscatto. La prima, in formato HTML, è chiamata “Info.hta” e viene lanciata automaticamente ogni qual volta l’utente effettua il login sul sistema (vedi immagine).

Nota di riscattto di Dharma Brrr

La nota di riscatto di Brrr Dharma

La seconda nota è contenuta in un file di testo memorizzato sulla scrivania, chiamato “FILES ENCRYPTED.txt”. Questo file contiene il testo seguente:

all your data has been locked us
you want to return?
write email paydecryption@qq.com

Infine, Dharma Brrr si configura per essere avviato automaticamente ad ogni login dell’utente. In questo modo il ransomware è in grado di cifrare i nuovi file creati dall’utente successivamente all’ultima scansione dei dischi.

Al momento non sono disponibili tool per decifrare gratuitamente i file presi in ostaggio da Dharma Brrr. Fortunatamente, la capacità di individuazione di questo ransomware da parte dei più diffusi antivirus risulta molto elevata.

Al fine di prevenire la possibilità di cadere vittime di questa tipologia di minaccia informatica, si consiglia di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Disponibile tool per recuperare i file cifrati dal ransomware GandCrab

26 ottobre 2018

La Polizia Romena, in collaborazione con le forze dell'ordine di altri Paesi, la società di sicurezza Bitdefender ed Europol, ha sviluppato un tool universale per decifrare i file presi in ostaggio dal ransomware GandCrab.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Il nuovo ransomware PyLocky colpisce paesi europei

11 settembre 2018

I ricercatori di sicurezza di Trend Micro hanno scoperto PyLocky, un nuovo esemplare di ransomware distribuito prevalentemente in Germania e Francia.Leggi tutto