Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Nuovo ransomware CryptoLuck, diffuso tramite exploit kit RIG-E
- MERCOLEDÌ 16 NOVEMBRE 2016

È stato scoperto un nuovo ransomware, CryptoLuck, che si diffonde tramite exploit kit RIG-E, dopo il reindirizzamento da siti web compromessi e catene di malvertising. La particolarità del fatto non riguarda tanto il ransomware di per sé, bensì le sue modalità di diffusione. Ciò significa che tale minaccia vedrà una più ampia distribuzione e di conseguenza una maggiore quantità di vittime.


Modalità di diffusione
CryptoLuck, come abbiamo visto, viene diffuso tramite exploit kit RIG-E, attraverso malvertising. Ma c’è buona possibilità che il ransomware sia distribuito, oltre che tramite pubblicità nei siti web per adulti, attraverso altre fonti, come siti compromessi.

Come è installato il ransomware?
CryptoLuck usa un codice di programma legittimo firmato da Google chiamato GoogleUpdate.exe (come mostra l’immagine sotto) e “dirotta” le DLL per installare il ransomware.


La minaccia viene distribuita utilizzando un file RAR SFX che include crp.cfg, GoogleUpdate.exe e file goopdata.dll. Il file SFX contiene anche le indicazioni che quando eseguito estrarrà questi file nella cartella %AppData%\76ff e poi, silenziosamente, eseguirà il programma GoogleUpdate.exe.


Quando il programma GoogleUpdate.exe viene eseguito, cercherà un file DLL chiamato goopdate.dll file e lo caricherà. Il problema è che questo prima cercherà il file nella stessa cartella dove risiede GoogleUpdate.exe. Ciò permette allo sviluppatore di malware di creare il proprio file dannoso goopdate.dll e di farlo caricare da GoogleUpdate. 
Lo sviluppatore di CryptoLuck ha messo tutto il codice relativo al ransomware nel proprio file dannoso goopdate.dll. Quando, poi, viene eseguito il file legittimo GoogleUpdate.exe viene caricata la DLL maligna piuttosto che quella legittima normalmente utilizzata da Google.

Come CryptoLuck crittografa i file
Quando CryptoLuck infetta un computer, verificherà in primo luogo se è in esecuzione all’interno di una macchina virtuale. In tal caso, il processo terminerà. In caso contrario, effettuerà la scansione del computer, delle sue mounted drives, e delle condivisioni di rete non mappata per i file che contengono determinate estensioni. Pare che nel momento in cui rileva un file di destinazione, si generi una chiave di cifratura AES unica per quel file e crittografa il file utilizzando la crittografia AES-256. La chiave di crittografia di questo file viene quindi crittografata con una chiave RSA pubblica incorporata e la chiave di crittografia AES risultante viene incorporata nel file crittografato. L’attuale chiave di cifratura RSA pubblica per CryptoLuck è:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnoamWzd2h7DKzMKYAhdJ
qoQDpVAd0mirVhWElZsstWdTVfb4WxYMftVJx1CN2MG0FxSF7Rp825Iokm/6MWry
cXeaafM5vK/AD7j9X/4oxuxZI1zb+BJBvN/kzThDeH2oSmVsSuvT1JlIqn7iGfrG
D93Ej7ENL53r0SVFXFFB6WhOji54eJlLTkJGH2cYubsREvobBQ4SytKUxEkxbaHp
6kOM9l3UOaJm6tEepeQmiW4ZaGJmGLGgc1dL0cw+YPooz8egLuLSvLGnBw4W+RyN
VHKamYLN7JX11rzw5ZnhknS7BFKcSY0nV0tD+CgcQsaaM06qMmsMTT1vW9wtotDX
FwIDAQAB
-----END PUBLIC KEY-----

Quando i file vengono crittografati presenteranno un’estensione .[victim_id]_luck aggiunta al nome del file. Per esempio, se la vittima ha un ID di 0054B131 e un file chiamato test.jpg crittografato con CryptoLuck il suo nuovo nome sarebbe test.jpg.0054B131. Poi il nome originale di ciascun file crittografato viene aggiunto come voce sotto la HKCU\Software\sosad_[victim_idfile]\files key.


I file presi di mira da CryptoLuck sono:

.3ds .3fr .4db .4dd .7z .7zip .accdb .accdt .aep .aes .ai .apk .arch00 .arj .arw .asset .bar .bay .bc6 .bc7 .big .bik .bkf .bkp .blob .bpw .bsa .cas .cdr .cer .cfr .cr2 .crp .crt .crw .csv .d3dbsp .das .dazip .db0 .dba .dbf .dbx .dcr .der .desc .dmp .dng .doc .docm .docx .dot .dotm .dotx .dwfx .dwg .dwk .dxf .dxg .eml .epk .eps .erf .esm .fdb .ff .flv .forge .fos .fpk .fsh .gdb .gho .gpg .gxk .hkdb .hkx .hplg .hvpl .ibank .icxs .idx .ifx .indd .iso .itdb .itl .itm .iwd .iwi .jpe .jpeg .jpg .js .kdb .kdbx .kdc .key .kf .ksd .layout .lbf .litemod .lrf .ltx .lvl .m2 .map .max .mcmeta .mdb .mdbackup .mddata .mdf .mef .menu .mlx .mpd .mpp .mpqge .mrwref .msg .myo .nba .nbf .ncf .nrw .nsf .ntl .nv2 .odb .odc .odm .odp .ods .odt .ofx .orf .p12 .p7b .p7c .pak .pdb .pdd .pdf .pef .pem .pfx .pgp .pkpass .ppj .pps .ppsx .ppt .pptm .pptx .prproj .psd .psk .pst .psw .ptx .py .qba .qbb .qbo .qbw .qdf .qfx .qic .qif .r3d .raf .rar .raw .rb .re4 .rgss3a .rim .rofl .rtf .rw2 .rwl .saj .sav .sb .sdc .sdf .sid .sidd .sidn .sie .sis .sko .slm .snx .sql .sr2 .srf .srw .sum .svg .sxc .syncdb .t12 .t13 .tar .tax .tbl .tib .tor .txt .upk .vcf .vcxproj .vdf .vfs0 .vpk .vpp_pc .vtf .w3x .wallet .wb2 .wdb .wotreplay .wpd .wps .x3f .xf .xlk .xls .xlsb .xlsm .xlsx .xxx .zip .ztmp

Nelle scansioni dei file da crittografare effettuate da CryptoLuck, questo salterà i file i cui nomi contengono le seguenti stringhe:

Windows
Program Files
Program Files (x86)
ProgramData
AppData
Application Data
Temporary Internet Files
Temp
Games
nvidia
intel
$Recycle.Bin
Cookies
Richiesta di riscatto
Una volta finito di crittografare i file e con le condivisioni della rete disponibile, verrà visualizzata una richiesta di riscatto di nome %AppData%\@WARNING_FILES_ARE_ENCRYPTED.[victim_id].txt. Saranno lasciate 72 ore per pagare un riscatto di 2.1 bitcoin, pari a circa 1,500 dollari USD.
Questa richiesta di riscatto conterrà le istruzioni su come scaricare decryptor ed effettuare il pagamento. 
Il testo di tale richiesta è:

" A T T E N T I O N !
YOUR PERSONAL FILES ARE ENCRYPTED!
PERSONAL ID: 0054B131

Your important files encryption produced on this computer: photos, videos, documents, etc. Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.

If you see this text but don't see Decryptor Wizard window - please, disable any Firewalls and antivirus products, and download Decryptor Wizard on this URL:
http://dropmefiles.com/304718

You have 72 hours for payment.
After this time the private key will be destroyed.


For more info and support, please, contact us at this email address:
YAFUNN@YAHOO.COM "

Alla vittima verrà mostrata una guida per la decrittografia, che le spiega come fare per effettuare il pagamento e aspettare che il pagamento sia concluso. Dopo che è avvenuto il pagamento del riscatto, saranno decifrati automaticamente i file della vittima. 


Purtroppo, come ogni file che viene crittografato utilizzando la propria chiave AES e di cui solo lo sviluppatore del malware conosce la chiave di decrittazione RSA, il ransomware al momento non è decifrabile.

File associati a CryptoLuck:

%AppData%\@WARNING_FILES_ARE_ENCRYPTED.0054B131.txt
%AppData%\info_[vicitm_id].info
%AppData%\76ff\
%AppData%\76ff\crp.cfg
%AppData%\76ff\GoogleUpdate.exe
%AppData%\76ff\goopdate.dll

Voci di registro associate a CryptoLuck:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\GoogleUpdate.exe %AppData%\76ff\GoogleUpdate.exe
HKCU\Software\sosad_[victim_id]

IOC:

SHA256: d399d7eb0e02123a5262549f822bb06e27b4bc8749260363788a5e39a0ce5c2a



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 6 DICEMBRE 2019
Deep web e dark web: le parti nascoste del web - cosa sono, come funzionano
Il web che moltissimi di noi conoscono e navigano ogni giorno è solo una infinitesimale parte dell'infinito complesso di pagine disponibili online: parliamo della parte e...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login