News - Malware & Hoax - TG Soft Cyber Security Specialist

17/07/2013
15:15

Dirty Decrypt: un altro ransomware che cifra i file e ti chiede il riscatto.

Nuova variante di ransomware, Trojan.Win32.DirtyDecrypt.A, che cifra i file del computer. Le nuove versioni non rendono possibile la decrittografazione dei file.

Nuova variante di ransomware, Trojan.Win32.DirtyDecrypt.A, che blocca il computer e crittografa i file.

Click per ingrandire

Quando eseguito il Trojan.Win32.DirtyDecrypt.A, copia se stesso nelle seguenti cartelle:

%UserProfile%\Impostazioni locali\Dati applicazioni\Facebook\[nome casuale].exe
%ProgramFiles%\MSN GAMING ZONE\[nome casuale].exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\programs\startup\[nome casuale].exe
%UserProfile%\AppData\Local\{51541F38-A835-42DE-A0D9-44CFF196937F}\[nome casuale].exe

Dimensione: 429568 byte
MD5: c99f8dec0cef7c8e4596f2e2f4e10588

Inoltre crea il seguente file, Trojan.Win32.DirtyDecrypt.B:

%UserProfile%\AppData\Roaming\Dirty\DirtyDecrypt.exe

Dimensione: 24576 byte
MD5: 1d27a7210f54a047264f23c7506e9506

In base alla versione del sistema operativo, il trojan può copiarsi all'interno delle seguenti cartelle:

C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[YOUR USER]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Application Data\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[YOUR USER]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe

Il Trojan.Win32.DirtyDecrypt.A modifica le seguenti chiavi di registro, in modo da essere eseguito all'avvio di Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[nome casuale] = %UserProfile%\Impostazioni locali\Dati applicazioni\Facebook\[nome casuale].exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[Userinit] = c:\windows\system32\userinit.exe,%ProgramFiles%\MSN GAMING ZONE\[nome casuale].exe

Inoltre viene eseguito dal menu di avvio:

%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\programs\startup\[nome casuale].exe

Il Trojan.Win32.DirtyDecrypt.B si mette all'avvio in modo nascosto, modificando la seguente chiave di registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[DirtyDecrypt] = "%UserProfile%\AppData\Roaming\Dirty\DirtyDecrypt.exe\" \hide

Il trojan modifica alcune chiavi di registro per disabilitare i seguenti servizi:

wscsvc, Centro Operativo in Windows Vista, 7, 8
wuauserv, Aggiornamenti automatici di Windows

Dopo circa 5 minuti dall'esecuzione del virus viene visualizzata la finestra a tutto schermo della Polizia di Stato che blocca il computer.

Il Trojan.Win32.DirtyDecrypt.A crittografa i seguenti documenti del computer con il sistema RSA:

7z
avi
doc
docm
docx
jpeg

jpg
mpeg
mpg
pdf
png
rar

rtf
wmv
xls
xlsm
xlsx
zip

Esempio di immagine jpg crittografata dal trojan:

Click per ingrandire

Esempio di documento RTF crittografato dal trojan:

Click per ingrandire

Se eseguito il Trojan.Win32.DirtyDecrypt.B, visualizza la seguente schermata:

Click per ingrandire

Per la loro decrittografazione chiede la seguente somma da pagare in base alla valuta scelta:

100 EUR
100 GBP
200 USD

I metodi di pagamenti utilizzati sono:

Ukash
PaySafeCard
MoneyPak

Il Trojan.Win32.DirtyDecrypt.A si collega al seguente dominio (ad Amsterdam) per convalidare il pagamento:

viweabkkfe.com

Rimozione:
Il Trojan.Win32.DirtyDecrypt.A viene rimosso da VirIT eXplorer dalla versione 7.4.48.

Nella prima versione era presente una falla attraverso la quale si poteva decrittografare i file senza pagare la somma richiesta.
Purtroppo nelle versioni successive la falla è stata corretta da chi ha scritto il malware e non è più possibile recuperare i file crittografati con procedure alternative.
Per alcuni tipi di file è possibile recuperare una parte del file stesso, perdendo però alcune informazioni che ne potrebbero compromettere il corretto funzionamento.

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Questo sito web utilizza i cookie
Utilizziamo i cookie per personalizzare la lingua, i contenuti e fornire funzionalità tecniche. NON vengono utilizzati per profilazione o rivendita a terze parti. Esistono delle pagine in cui sarà presente “Google reCaptcha”, anche in questo caso, il nostro scopo è unicamente quello di poter accertare la presenza di interazione umana e non di Bot automatici.

Necessari 5

I cookie necessari contribuiscono a rendere fruibile il sito web abilitandone funzionalità di base quali la navigazione sulle pagine. Il sito web non è in grado di funzionare correttamente senza questi cookie.

ASP.NET_SessionId [x2]
Preserva gli stati dell'utente nelle diverse pagine del sito.

Scadenza: Session

Tipo: HTTP

cookie_accettati [x1]
Memorizza lo stato del consenso ai cookie dell'utente per il dominio corrente

Scadenza: 1 anno/i

Tipo: HTTP

lang [x1]
Memorizza la lingua selezionata

Scadenza: 1 anno/i

Tipo: HTTP

ASPSESSIONIDxxxx
Cookie tecnico per la gestione delle interazioni con l'utente

Scadenza: Session

Tipo: HTTP

Necessari (per uso ed accesso ad aree specifiche) 2

Cookie necessario a rendere fruibile alcuni contenuti specifici quali: l'accesso alle aree protette del sito, l'invio di richieste o l'iscrizione alle newsletter. Le funzionalità specifiche di queste sezioni non saranno utilizzabili senza questo cookie.

_GRECAPTCHA [x1]
Necessario per verificare l'interazione umana.
Usato per inviare preventivi, accedere alle aree riservate e in tutti quei punti in cui la sicurezza è una componente fondamentale.

Scadenza: 6 mese/i

Tipo: HTTP

cookie_google [x1]
Flag di accettazione dei cookie reCAPTCHA Google

Scadenza: 6 mese/i

Tipo: HTTP

Accetta i Termini di servizio di reCAPTCHA:
Accedendo o utilizzando le API reCAPTCHA, accetti i Termini d'uso delle API di Google, i Termini d'uso Goodle e i Termini aggiuntivi di seguito. Si prega di leggere e comprendere tutti i termini e le norme applicabili prima di accedere alle API.

Termini di servizio di reCAPTCHA:
Riconosci e comprendi che l'API reCAPTCHA funziona raccogliendo informazioni hardware e software, come i dati del dispositivo e dell'applicazione e i risultati dei controlli di integrità, e inviando tali dati a Google per l'analisi. Ai sensi della Sezione 3(d) dei Termini di servizio delle API di Google, accetti che, se utilizzi le API, è tua responsabilità fornire gli avvisi o i consensi necessari per la raccolta e la condivisione di questi dati con Google.

Dati collezionati da reCAPTCHA:
L'algoritmo reCAPTCHA verificherà la presenza un cookie di Google (in genere _ga)
Se non presente, un cookie reCAPTCHA specifico verrà aggiunto al browser dell'utente e verrà catturata - pixel per pixel - un'immagine istantanea completa della finestra del browser dell'utente in quel momento.
Alcune delle informazioni su browser e utente raccolte al momento includono:
Tutti i cookie inseriti da Google negli ultimi 6 mesi
Quanti clic del mouse hai fatto su quella schermata (o tocco se su un dispositivo touch)
Le informazioni CSS per quella pagina
La data esatta
La lingua in cui è impostato il browser
Qualsiasi plug-in installato nel browser
Tutti gli oggetti Javascript

Dirty Decrypt: un altro ransomware che cifra i file e ti chiede il riscatto.

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: