TG Soft Security Software Specialist - Vir.IT eXplorer: AntiVirus-AntiSpyware-AntiMalware-AntiRansomware
Identifica virus/malwareIdentifica virus polimorfici grazie a DEEP SCANMacro Virus AnalyzerTecnologia INTRUSION DETECTIONTools rimozione virus/malwareInstallazione su Active DirectoryProtezione Real-Time 16/32/64 bitVir.IT Scan MailVir.IT Console Client/ServerVir.IT WebFilter ProtectionAggiornamenti automatici Live-UpdateVir.IT Personal FirewallAssistenza tecnica in lingua italianaCentro Ricerche Anti Malware


Attiva la tua Licenza Invia file sospetto Newsletter

fb rss linkedin twitter

Vir.IT eXplorer PRO dal 2016 Certificato ICSA Labs

Vir.IT eXplorer PRO dal 2016 Certificato VB100

AMTSO

OpsWat

AppEsteem



EICAR Membro SERIT - Security Research in ITaly

15/12/2015 14:39:25 - CryptoFF.D anche questa nuova variante, naturalmente, crittografa i file di documenti e ne richiede un riscatto !!!.

Italiano  Inglese

Dopo alcuni giorni dall'individuazione del Trojan.Win32.CryptoFF.C, oggi 15 dicembre i ricercatori del C.R.A.M. hanno scoperto una nuova variante classificata come  Trojan.Win32.CryptoFF.D

I documenti crittati da Trojan.Win32.CryptoFF.D sono riconoscibili dall'estensione .him0m
 
Il file analizzato "17F.tmp" è stato recuperato dai file temporanei di un computer colpito dal Trojan.Win32.CryptoFF.D
Non abbiamo informazioni sufficienti per risalire al modo di propagazione utilizzato.

File name: 17F.tmp
MD5: 5366277c20458c8b08eb9c0bb2dc5528
Dimensione: 202515 byte
Time Stamp (header): 15/12/2015 - 08.17.03

Quando viene eseguito il file infetto, immediatamente il malware inizia a cercare i file da criptare.

Quando trova la sua prima vittima, esegue le seguente operazioni:
  1. apre il file da criptare
  2. esegue le operazioni di criptazione
  3. rinomina il file in ".him0m"
I primi 64 KB dei documenti saranno criptati da Trojan.Win32.CryptoFF.D
Se il file è inferiore ai 64 KB, allora tutto il documento sarà criptato.

L'algortimo utilizzato per la criptazione è l'AES a 256 bit.
Nel codice virale vi è presente un bug nella criptazione dei file con dimensione inferiore ai 64 KB, nel caso di decriptazione questi file potranno essere corrotti nella parte finale.


In ogni cartella vengono creati 2 files:
  • SECRETKEYISHIDINGHERE.KEY (dimensione 1.368 byte)
  • READTHISSHITNOWORELSE.TXT  (dimensione 1.248 byte)

Il file "SECRETKEYISHIDINGHERE.KEY" contiene una chiave in UUencode, che decodificata si ottiene una chiave da 1024 byte.
Il file "READTHISSHITNOWORELSE.TXT" contengono le istruzioni per recuperare i file che riportiamo di seguito:

Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
 
Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your personal address, you need to do this just once). Then click Send tab.

TO: BM-NByDti9xJ9NcFShLaBfE1fkAW8uk51WQ
SUBJECT: name of your PC or your IP address or both.
MESSAGE:  Hi, I am ready to pay.

Click Send button.

You are done.

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Al termine della crittografazione di tutti i file di documenti del disco rigido viene visualizzata al centro dello schermo la seguente immagine:

Immagine del messaggio che lascia nel PC / SERVER CryptoFF.D dopo aver crittografato i file...

Il Trojan.Win32.CryptoFF.D cancella le shadow copy con il seguente comando:
cmd.exe /Q /C vssadmin.exe delete shadows /all /quiet


Rimozione:
VirIT versione 8.0.69 e successive.


Analisi a cura dell'ing. Gianfranco Tonello
C.R.A.M. Centro Ricerche Anti Malware
by TG Soft

Utilizzabilità delle informative e delle immagine in esse contenute

Ogni informazione pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook a patto che venga sempre e comunque citata la fonte "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini. Inoltre per ogni immagine utilizzata dovrà essere sempre indicata la fonte ed il link cliccabile alla pagina originale dell'informativa di prima pubblicazione. Per quanto riguarda le pubblicazioni cartacee sarà necessario citare la fonte esplicitamente "Fonte: C.R.A.M. by TG Soft www.tgsoft.it" ed in analogia alle pubblicata elettroniche i link sotto ad ogni immagine alla pagina web originale da cui sono state estratte.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito "Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]"

fb rss linkedin twitter
 




Legal & Eula | Privacy | Disinstallazione

TG Soft S.r.l. - via Pitagora 11/b, 35030 Rubàno (PD), ITALIA - C.F. e P.IVA 03296130283