Nuova versione di Petya Goldeneye 4.0: chiede un doppio riscatto per Mischa e Petya!

Dopo alcuni mesi di silenzio, l'autore di Petya si fa vivo con la nuova versione Goldeneye 4.0.

Nella settimana scorsa, a partire dal 6 dicembre, vi è stata in Germania una campagna di spam che diffonde la versione Goldeneye di Petya via posta elettronica.

La campagna spam, viene confermata in un tweet da Janus autore di Petya Goldeneye il 7 dicembre:

Il C.R.A.M. di TG Soft ha analizzato questa nuova variante per individuare le differenze rispetto alle precedenti release.

INDICE

==> Come si diffonde Petya Goldeneye

==> Esecuzione di Goldeneye: ransomware Mischa

==> Esecuzione di Goldeneye: ransomware Petya fase 1

==> Esecuzione di Goldeneye: ransomware Petya fase 2

==> Esecuzione di Goldeneye: ransomware Petya fase 3 richiesta riscatto

==> Il riscatto richiesto da Petya Goldeneye

==> Conclusioni

Come si diffonde Petya Goldeneye

La nuova variante Goldeneye di Petya si diffonde via posta elettronica.
La campagna di spam che è stata osservato a partire dal 6 dicembre 2016, ha colpito pricipalmente il mercato tedesco e, come nei casi precedenti, l'email fa riferimento sempre alla ricerca di personale.
In questo caso l'email è una candidatura per un posto di lavoro nella produzione di dispositivi optoelettronici.

L'oggetto dell'email infette può avere la seguente tipologia:

Bewerbung als Facharbeiter für die Fertigung optoelektronischer Bauteile

Clicca per ingrandire l'immagine

Corpo del messaggio:

Sehr geehrte Damen und Herren,

hiermit bewerbe ich mich bei Ihnen für die die Stelle als Facharbeiter für die Fertigung optoelektronischer Bauteile. Meine vollständigen Bewerbungsunterlagen können Sie dem Anhang entnehmen.

Ich freue mich auf Ihre Rückmeldung und stehe Ihnen bei Rückfragen jederzeit gerne zur Verfügung.

Mit freundlichem Gruß

Andreas Meier

Anlagen
Lebenslauf
Zertifikate
Zeugnisse
Kompetenztest

Il messaggio infetto da Petya contiene 2 allegati:

Bewerbung von Drescher.xls (dimensione: 1804800 byte, MD5: FEF25AFCCEBE63858C093CB716D03203)
Bewerbung von Drescher.pdf (dimensione: 138540 byte, MD5: 16E41EBD9414E9327E9D447E4B5A6FE4)

Il file Bewerbung von Drescher.xls contiene delle macro di Excel, che creano ed eseguono dalla cartella %temp% il seguente file:

Nome: rad0A3AB.exe
Dimensione: 368640 byte
MD5: 08828DAF9A027E97FEE2421AC6CBC868

Torna ad inizio pagina

Esecuzione di Goldeneye: ransomware Mischa

L'apertura del documento Bewerbung von Drescher.xls, con le macro attive, comporta l'esecuzione del file rad0A3AB.exe dalla cartella di %temp%.

In questa prima fase viene eseguito il ransomware Mischa che cifrerà ogni file documento all'interno della cartella c:\user(%user%) di Windows.
I file di documento cifrati saranno rinominati aggiungendo una nuova estensione casuale di 8 caratteri, come ad esempio:

Cartel1.xlsx ==> Cartel1.xlsx.rCazhYJU

Il ransomware Mischa rilascerà in ogni sottocartella di %user% il file "YOUR_FILES_ARE_ENCRYPTED.TXT" con le istruzione del riscatto:

You became victim of the GOLDENEYE RANSOMWARE!

The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.

To purchase your key and restore your data, please follow these three easy steps:

    1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for
       "access onion page".

    2. Visit one of the following pages with the Tor Browser:

        http://golden5a4eqranh7.onion/rCazhYJU
        http://goldeny4vs3nyoht.onion/rCazhYJU

    3. Enter your personal decryption code there:

        rCazhYJUF1pRVywmEsuUey9LrqMAAQ4yYrdeoNHB93eikeexJNBjaRL64UWfNG6PNSo9us5v9[..]

Torna ad inizio pagina

Esecuzione di Goldeneye: ransomware Petya fase 1

Dopo che il ransomware Mischa ha terminato la cifratura dei file di documento all'interno della cartella %user%, Goldeneye esegue il ransomware Petya.

Il dropper di Petya ( rad0A3AB.exe) è in grado di bypassare il livello intermedio dell'User Account Control (UAC), andando ad infettare il Master Boor Record del disco fisso sovrascrivendo i primi 36 settori, come rappresentato nello schema ==>

Il settore 0 dell'MBR è infettato dal codice di loader di Petya, come si può vedere in figura la lunghezza di questo codice è di 147 byte.

Dal settore 1 al 0x20 troviamo il codice virale di Petya.

Interessante è il settore 0x20:

Questo settore è strutturato in questo modo:

Off. 0x00 (1 byte): stato del disco
- 0: disco da cifrare
- 1: disco cifrato
- 2: disco de-cifrato
Off. 0x01 (32 byte): chiave utilizzata per la cifratura
Off. 0x21 (8 byte): vettore di inizializzazione per la cifratura
Off. 0x29 (128 byte): indirizzi Tor-Onion per pagare il riscatto
Off. 0xa9 (90 byte): ID della vittima

Il settore 0x21, nella prima fase, è riempito solo con il byte 0x07.

Questo settore, nella fase 2 verrà cifrato e nella fase 3 sarà utilizzato per verificare la correttezza della chiave inserita.

Il settore 0x22 contene il Master Boot Record cifrato con xor 0x07, come si può vedere nell'immagine a fianco.

Il settore 0x23, in questa fase contiene solo 0.

Al termine di questa fase Petya Goldeneye simula una schermata blu di errore (BSOD):

Durante la fase 1, Petya Goldeneye non ha ancora iniziato a cifrare la Master File Table (MFT), ma ha solamente infettato il Master Boor Record. Se è stato disattivato il riavvio automatico del computer in caso di BSOD, il computer infettato da Petya rimarrà bloccato con la schermata di errore BSOD.

Se siamo in questa situazione con la schermata BSOD è possibile spegnere il computer e riavviarlo da un CD\DVD bootabile di Windows per eseguire un "fixmbr" per rimuovere Petya dal Master Boot Record.
Se invece il computer viene riavviato o si è riavviato in automatico, allora verrà eseguito il boot loader dell'MBR infetto da Petya che darà inizio alla fase 2 della cifratura della Master File Table.

Torna ad inizio pagina

Esecuzione di Goldeneye: ransomware Petya fase 2

La fase 2 di Petya ha inzio con il primo boot, il codice dell'MBR viene caricato all'indirizzo 0:7c00. L'MBR infetto da Petya va a leggere 0x20 settori partendo dal settore 1 e li carica all'indirizzo 0:8000.

Se il primo byte del settore 0x20, cioè quello del campo "stato del disco", vale 0, allora inizierà la procedura di cifratura della Master File Table di ogni partizione del disco.
L'algoritmo di cifratura utilizzato è ancora Salsa20, quì possiamo vedere la routine di inizializzazione dell'array di input di Salsa20:

In questa fase Petya visualizza un falso chkdsk che, in realtà, sta cifrando la Master File Table. La percentuale visualizzata indica la porzione di Master File Table cifrata.

In questa fase il settore 0x20 viene aggiornato:

Il primo byte del settore 0x20 viene aggiornato con il valore 1 (disco cifrato), e il 32 byte della chiave di cifratura vengono cancellati con zeri. Rimane intatto il valore del vettore di inizializzazione di 8 byte.

Invece il settore 0x21 risulterà anch'esso cifrato, come possiamo vedere in figura:

Nel settore 0x23 vi troviamo il numero di cluster cifrati, come possiamo vedere in figura:

Al termine della fase 2 della cifratura dell'MFT il computer verrà riavviato automaticamente da Petya.

Torna ad inizio pagina

Esecuzione di Goldeneye: ransomware Petya fase 3 richiesta riscatto

Al successivo boot, Petya va a leggere il settore 0x20, e se il primo byte ("stato del disco") contiene il valore 1, allora visualizzerà il fantomatico teschio di Petya alternando i colori giallo e nero:

L'immagine del teschio viene visualizzata attraverso uno sfarfallio delle 2 immagini:

Premendo un tasto, ci viene indicato che siamo vittima di GOLDENEYE RANSOMWARE:

Petya Goldeneye ci indica quali sono i siti per pagare il riscatto e l'ID della vittima.
A questa punto Petya rimane in attesa dell'inserimento della chiave per decifrare l'MFT.

La chiave da inserire manualmente è una stringa di 32 caratteri presi dal seguente insieme: 0123456789abcdef

Da questa chiave di 32 caratteri, Petya eseguirà ulteriori operazioni per ottenere una nuova chiave definitiva di 32 byte.

Petya per verificare la correttezza di ques'ultima chiave di 32 byte, ottenuta da quella inserita, proverà a decifrare il settore 0x21, se ogni byte del settore dopo la de-crifratura avrà il valore 0x07 allora la chiave che è stata inserita è corretta e procederà alla decifratura del'MFT.

Torna ad inizio pagina

Il riscatto richiesto da Petya Goldeneye

Collegandosi con il browser Tor-Onion ai siti indicati è possibile sapere dell'ammontare del riscatto da pagare.
Nella prima pagina richiesto l'inserimento dell'ID della vittima:

Nella seconda pagina ci viene quantificata la somma del riscatto da pagare in Bitcoin:

Nella terza pagina ci viene indicato l'indirizzo del conto dove pagare il riscatto in Bitcoin.

Inoltre è possibile inviare un messaggio agli autori della frode che utlizza il ransomware Petya Goldeneye:

Torna ad inizio pagina

Conclusioni

Questa nuova versione di Petya Goldeneye ha raddoppiato la richiesta di riscatto per ri-ottenere l'usabilità del proprio PC prima e dei propri file poi:

Petya cifrando la MFT chiede riscatto per decifrala;
Mischa cifrando i file di dati chiede un ulteriore riscatto per de-cifrarli.

Se nelle versioni precedenti di Petya la cifratura dell'MFT era eseguita solo nel caso in cui il dropper veniva lanciato con i diritti di Administator, ed in caso contrario comportava la cifratura solo dei file di documenti attraverso il ransomware Mischa.
Questa nuova release esegue in serie prima il ransomware Mischa, e dopo è in grado by-passare il livello intermedio dell'User Account Control (UAC) andando ad infettare il Master Boot Record.

La malcapitata vittima si troverà di fronte a pagare sia il riscatto per decifrare la Master File Table sia il riscatto per decrifrare i file criptati da Mischa. Nel nostro test i riscatti richiesti sono stati rispettivamente di 1,39 e 1,32 Bitcoin come indicato nelle 2 figure:

Petya:

Mischa:

Evoluzione di Petya:

Nome	Data	Note
Petya 1. 0 Red version	Marzo 2016	E' possibile decifrare l'MFT con algoritmi genetici o metaeuristici come "Cuckoo Search"
Petya 2.0 Green version + Mischa	Maggio 2016	Viene eseguito Petya o Mischa. E' possibile decifrare l'MFT con il Brute Force (num. combinazioni 54⁸)
Petya 3.0 Green version + Mischa	Luglio 2016	Viene eseguito Petya o Mischa. E' possibile decifrare l'MFT durante la fase 1. Dopo la fase non è possibile decifrare l'MFT
Petya Goldeneye Yellow version + Mischa	Dicembre 2016	Vengono cifrati prima i file con Mischa e dopo viene infettato l'MBR bypassando il livello intermedio dell'UAC. E' possibile decifrare l'MFT durante la fase 1. Dopo la fase non è possibile decifrare l'MFT

Come già evidenziato l'autore di Petya si fa chiamare Janus.
Janus è un fan di James Bond e in particolar modo del film "Goldeneye", infatti tutti i nomi elencati Petya, Mischa, Janus sono citati in Goldeneye.

Inoltre l'autore di Petya ha 2 account su twitter:

@JanusSecretary
@janussec

A Janus piace "giocare", burlandosi della Polizia tedesca di Osnabruck, scambiandosi tweet sul ransomware Goldeneye:

C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft

Torna ad inizio pagina

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”