06/12/2013
15:33

Brutte notizie con il ritorno del CryptoLocker

Nuova variante del Trojan.Win32.CryptoLocker.B che crittografa tutti i documenti  e chiede il riscatto.
In data 3 dicembre 2013 vi è stata una nuova ondata del ransomware CryptoLocker, classificato come Trojan.Win32.CryptoLocker.B
Il CryptoLocker è un ransomware che crittografa i documenti di tutte le unità (locali e remote) collegate al computer, chiedendo un riscatto di 300 dollari/euro o in equivalente moneta.

Il CRAM (Centro Ricerca Anti-Malware) ha analizzato questo nuova variante di CryptoLocker.

Nome: Trojan.Win32.CryptoLocker.B
Dimensione: 761856 byte
MD5: 7f3cc059ffc6c11fe42695e5f19553ab

Il Trojan.Win32.CryptoLocker.B viene installato sul computer della vittima attraverso un dropper, che arriva via posta elettronica, con un allegato di un falso documento PDF di una fattura, di un ordine o di un pagamento.

Quando eseguito il dropper, questo scaricherà altri malware nel computer della vittima.
In questo caso, il dropper, ha scarito ed eseguito il Trojan.Win32.CryptoLocker.B.

Quando eseguito il Trojan.Win32.CryptoLocker.B, avvia 2 processi di se stesso, e si copia in:
%userprofile%\%local settings%\%appdata%\<random>.exe

esempio:
c:\Documents and Settings\luigi\Impostazioni locali\Dati Applicazioni\SSFVRXKYWGOTRL.EXE

All'interno del file .EXE del Trojan.Win32.CryptoLocker.B è riportato il "Time Date Stamp" di compilazione: 03/12/2013 14:50:58

A questo punto il trojan modifica le seguenti chiavi di registro per essere eseguito all'avvio:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
[*CryptoLocker] = %userprofile%\%local settings%\%appdata%\<random>.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[CryptoLocker] =  %userprofile%\%local settings%\%appdata%\<random>.exe

Quando eseguito il Trojan.Win32.CryptoLocker.B si connette ad uno dei seguenti siti:
  •  lobrtucswpyeajq.net
  •  nrtroiauihtcmys.org
  •  opunyapqmiavvtg.co.uk
  •  pjrinsnwctgotet.info
  •  qhsexkdsgumitmp.com
  •  usyusdoctfpnee.org
  •  ybcgtpgmkqlxrrr.biz
Nel caso analizzato, ha eseguito la seguente richiesta POST:

usyusdoctfpnee.org/home/
   
inviando un pacchetto dati crittati di 192 bytes.

Il dominio del CryptoLocker, risponde con pacchetto dati crittati di 200 bytes.

A questo punto il Trojan.Win32.CryptoLocker.B inizia a cercare tutti i documenti (doc, cer, pdf, xls, rtf, etc) all'interno del computer per crittarli con l'algoritmo RSA-2048. La chiave di crittograzione utilizzata è protetta da una chiave privata.

Il  Trojan.Win32.CryptoLocker.B crea la seguente chiave di registro:

HKEY_CURRENT_USER\Software\CryptoLocker_####

[PublicKey] = hex:06,02,00,00,00,a4,00,00,52,53,41,31,00,08,00,00,01,00,01,00,8b [..]
[VersionInfo] = hex:26,30,9c,81,21,b3,3d,d3,ae,33,9c,81,ae,33,e9,f2,d7,46,ef,e5, [..]
[WallPaper] = hex:00,00,37,82 [..]

dove #### è numero.

Nel nostro caso: HKEY_CURRENT_USER\Software\CryptoLocker_0388

Il valore "PublicKey" è una chiave RSA.

All'interno della chiave HKEY_CURRENT_USER\Software\CryptoLocker_0388, vi è la sottochiave "Files":

HKEY_CURRENT_USER\Software\CryptoLocker_0388\Files

dove vi è l'elenco dei file crittografati dal ransomware.
[nome file crittato] = <number dword>

Quando ha finito di crittografare i documenti, il Trojan.Win32.CryptoLocker.B modifica lo sfondo del desktop:




e visualizza le seguenti finestre per il riscatto dei documenti:



Il riscatto può avvenire con le seguenti modalità di pagamento:
  • MoneyPak
  • Bitcoin



Geolocalizzazione:

Dominio: usyusdoctfpnee.org  
 
     
Indirizzo IP: 188.65.211.137
Host: host-188.65.211.137.knopp.ru
Paese: Russian Federation
Città:  -
Organizzazione / ISP: Limited Liability Company KNOPP
Latitudine: 60°00'00" North
Longitudine: 100°00'00" East

Altri domini
 lobrtucswpyeajq.net  non raggiungibile  -
 nrtroiauihtcmys.org  non raggiungibile  -
 opunyapqmiavvtg.co.uk  212.71.250.4  United Kingdom
 pjrinsnwctgotet.info  non raggiungibile  -
 qhsexkdsgumitmp.com  non raggiungibile  -
 ybcgtpgmkqlxrrr.biz  non raggiungibile  -


Varie:
All'interno del corpo del malware è visibile la seguente stringa:
sell03-12

Info pagamento: Your important files encryption produced on this computer: photos, videos, documents, etc. Here is a complete list of encrypted files, and you can personally verify this.

Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt the files you need to obtain the private key.

The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files...

To obtain the private key for this computer, which will automatically decrypt files, you need to pay 300 USD / 300 EUR / similar amount in another currency.

Click «Next» to select the method of payment.

Any attempt to remove or damage this software will lead to the immediate destruction of the private key by server.
Bitcoin: Bitcoin is a cryptocurrency where the creation and transfer of bitcoins is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or smartphone without an intermediate financial institution.

You have to send 0.5 BTC to Bitcoin address 1PXmJCPHfYqNZf5utMmPZBBQzAJK5xS1oP and specify the Transaction ID on the next page, which will be verified and confirmed.

Home Page
Getting started with Bitcoin
MoneyPak MoneyPak is an easy and convenient way to send money to where you need it. The MoneyPak works as a ‘cash top-up card’.

You have to purchase MoneyPak card, load it with $300 and enter the MoneyPak number on the next page.

Where can I purchase a MoneyPak?
MoneyPak can be purchased at thousands of stores nationwide, including major retailers such as Walmart, Walgreens, CVS/pharmacy, Rite Aid, Kmart and Kroger. Click here to find a store near you.

How do I buy a MoneyPak at the store?
Pick up a MoneyPak from the Prepaid Product Section or Green Dot display and take it to the register. The cashier will collect your cash and load it onto the MoneyPak.

Home Page
MoneyPak Store Locator

Informazioni su RU-KNOPP:
Inetnum :     188.65.211.0 - 188.65.211.255
Netname :     RU-KNOPP
Mnt-domains :     MNT-KNOPP
Descr :     KNOPP datacenter network 2
Country :     RU
Admin-c :     VLEF2009-RIPE
Tech-c :     DMGR2009-RIPE
Status :     ASSIGNED PA
Mnt-by :     MNT-KNOPP
Mnt-lower :     MNT-KNOPP
Mnt-routes :     MNT-KNOPP
   
Person :     Vladimir Efremov
Address :     4/1, Kolpachny per., 101000 Moscow, RUSSIAN FEDERATION
Phone :     +74956410410
Nic-hdl :     VLEF2009-RIPE
Mnt-by :     MNT-KNOPP
   
Person :     Dmitriy Grishin
Address :     4/1, Kolpachny per., 101000 Moscow, RUSSIAN FEDERATION
Phone :     +74956410410
Nic-hdl :     DMGR2009-RIPE
Mnt-by :     MNT-KNOPP
   
Route :     188.65.208.0/21
Descr :     RU-KNOPP route object
Origin :     AS6719
Mnt-by :     MNT-KNOPP


Rimozione:
VirIT versione 7.5.52 e successive.
I documenti crittati non possono essere recuperati.

Analisi a cura dell'ing. Gianfranco Tonello
C.R.A.M. Centro Ricerche Anti Malware by TG Soft

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”

Vir.IT eXplorer PRO è certificato dai maggiori enti internazionali: