![]() |
![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() |
06/12/2013 15:33:49 - Brutte notizie con il ritorno del CryptoLocker
Nome: Trojan.Win32.CryptoLocker.B Dimensione: 761856 byte MD5: 7f3cc059ffc6c11fe42695e5f19553ab Il Trojan.Win32.CryptoLocker.B viene installato sul computer della vittima attraverso un dropper, che arriva via posta elettronica, con un allegato di un falso documento PDF di una fattura, di un ordine o di un pagamento. Quando eseguito il dropper, questo scaricherà altri malware nel computer della vittima. In questo caso, il dropper, ha scarito ed eseguito il Trojan.Win32.CryptoLocker.B. Quando eseguito il Trojan.Win32.CryptoLocker.B, avvia 2 processi di se stesso, e si copia in: %userprofile%\%local settings%\%appdata%\<random>.exe esempio: c:\Documents and Settings\luigi\Impostazioni locali\Dati Applicazioni\SSFVRXKYWGOTRL.EXE All'interno del file .EXE del Trojan.Win32.CryptoLocker.B è riportato il "Time Date Stamp" di compilazione: 03/12/2013 14:50:58 A questo punto il trojan modifica le seguenti chiavi di registro per essere eseguito all'avvio: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce [*CryptoLocker] = %userprofile%\%local settings%\%appdata%\<random>.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run [CryptoLocker] = %userprofile%\%local settings%\%appdata%\<random>.exe Quando eseguito il Trojan.Win32.CryptoLocker.B si connette ad uno dei seguenti siti:
usyusdoctfpnee.org/home/ inviando un pacchetto dati crittati di 192 bytes. Il dominio del CryptoLocker, risponde con pacchetto dati crittati di 200 bytes. A questo punto il Trojan.Win32.CryptoLocker.B inizia a cercare tutti i documenti (doc, cer, pdf, xls, rtf, etc) all'interno del computer per crittarli con l'algoritmo RSA-2048. La chiave di crittograzione utilizzata è protetta da una chiave privata. Il Trojan.Win32.CryptoLocker.B crea la seguente chiave di registro: HKEY_CURRENT_USER\Software\CryptoLocker_#### [PublicKey] = hex:06,02,00,00,00,a4,00,00,52,53,41,31,00,08,00,00,01,00,01,00,8b [..] [VersionInfo] = hex:26,30,9c,81,21,b3,3d,d3,ae,33,9c,81,ae,33,e9,f2,d7,46,ef,e5, [..] [WallPaper] = hex:00,00,37,82 [..] dove #### è numero. Nel nostro caso: HKEY_CURRENT_USER\Software\CryptoLocker_0388 Il valore "PublicKey" è una chiave RSA. All'interno della chiave HKEY_CURRENT_USER\Software\CryptoLocker_0388, vi è la sottochiave "Files": HKEY_CURRENT_USER\Software\CryptoLocker_0388\Files dove vi è l'elenco dei file crittografati dal ransomware. [nome file crittato] = <number dword> Quando ha finito di crittografare i documenti, il Trojan.Win32.CryptoLocker.B modifica lo sfondo del desktop: ![]() e visualizza le seguenti finestre per il riscatto dei documenti: ![]() Il riscatto può avvenire con le seguenti modalità di pagamento:
![]()
Geolocalizzazione:
Altri domini
Varie: All'interno del corpo del malware è visibile la seguente stringa: sell03-12
Informazioni su RU-KNOPP:
Rimozione: VirIT versione 7.5.52 e successive. I documenti crittati non possono essere recuperati. Analisi a cura dell'ing. Gianfranco Tonello C.R.A.M. Centro Ricerche Anti Malware by TG Soft Utilizzabilità delle informative e delle immagine in esse contenute
Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.
Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![]() |
Legal & Eula | Privacy | Disinstallazione |
TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283 |