TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

ECSM European Cyber Security Month ICSA Lab

Vir.IT eXplorer PRO supera il test internazionale VB100 2019-06

AMTSO

OpsWat



EICAR Membro SERIT - Security Research in ITaly

17/07/2013 15:15:11 - Dirty Decrypt: un altro ransomware che cifra i file e ti chiede il riscatto.

Italiano  Inglese


Nuova variante di ransomware, Trojan.Win32.DirtyDecrypt.A, che blocca il computer e crittografa i file.



Quando eseguito il Trojan.Win32.DirtyDecrypt.A, copia se stesso nelle seguenti cartelle:

%UserProfile%\Impostazioni locali\Dati applicazioni\Facebook\[nome casuale].exe
%ProgramFiles%\MSN GAMING ZONE\[nome casuale].exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\programs\startup\[nome casuale].exe
%UserProfile%\AppData\Local\{51541F38-A835-42DE-A0D9-44CFF196937F}\[nome casuale].exe

Dimensione: 429568 byte
MD5: c99f8dec0cef7c8e4596f2e2f4e10588

Inoltre crea il seguente file, Trojan.Win32.DirtyDecrypt.B:

%UserProfile%\AppData\Roaming\Dirty\DirtyDecrypt.exe

Dimensione: 24576 byte
MD5: 1d27a7210f54a047264f23c7506e9506

In base alla versione del sistema operativo, il trojan può copiarsi all'interno delle seguenti cartelle:

C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe

Il Trojan.Win32.DirtyDecrypt.A modifica le seguenti chiavi di registro, in modo da essere eseguito all'avvio di Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[nome casuale] = %UserProfile%\Impostazioni locali\Dati applicazioni\Facebook\[nome casuale].exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[Userinit] = c:\windows\system32\userinit.exe,%ProgramFiles%\MSN GAMING ZONE\[nome casuale].exe

Inoltre viene eseguito dal menu di avvio:

%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\programs\startup\[nome casuale].exe

Il Trojan.Win32.DirtyDecrypt.B si mette all'avvio in modo nascosto, modificando la seguente chiave di registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[DirtyDecrypt] = "%UserProfile%\AppData\Roaming\Dirty\DirtyDecrypt.exe\" \hide

Il trojan modifica alcune chiavi di registro per disabilitare i seguenti servizi:
  • wscsvc, Centro Operativo in Windows Vista, 7, 8
  • wuauserv, Aggiornamenti automatici di Windows
Dopo circa 5 minuti dall'esecuzione del virus viene visualizzata la finestra a tutto schermo della Polizia di Stato che blocca il computer.

Il Trojan.Win32.DirtyDecrypt.A crittografa i seguenti documenti del computer con il sistema RSA:
  • 7z
  • avi
  • doc
  • docm
  • docx
  • jpeg
  • jpg
  • mpeg
  • mpg
  • pdf
  • png
  • rar
  • rtf
  • wmv
  • xls
  • xlsm
  • xlsx
  • zip
Esempio di immagine jpg crittografata dal trojan:

Click per ingrandire

Esempio di documento RTF crittografato dal trojan:

Click per ingrandire

Se eseguito il Trojan.Win32.DirtyDecrypt.B, visualizza la seguente schermata:


Per la loro decrittografazione chiede la seguente somma da pagare in base alla valuta scelta:
  • 100 EUR
  • 100 GBP
  • 200 USD
I metodi di pagamenti utilizzati sono:
  • Ukash
  • PaySafeCard
  • MoneyPak
Il Trojan.Win32.DirtyDecrypt.A si collega al seguente dominio (ad Amsterdam) per convalidare il pagamento:

viweabkkfe.com

Rimozione:
Il Trojan.Win32.DirtyDecrypt.A viene rimosso da VirIT eXplorer dalla versione 7.4.48.

Nella prima versione era presente una falla attraverso la quale si poteva decrittografare i file senza pagare la somma richiesta.
Purtroppo nelle versioni successive la falla è stata corretta da chi ha scritto il malware e non è più possibile recuperare i file crittografati con procedure alternative.
Per alcuni tipi di file è possibile recuperare una parte del file stesso, perdendo però alcune informazioni che ne potrebbero compromettere il corretto funzionamento.

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283