Per gli invii massivi di mail fraudolente, vengono utilizzati i metodi di "ingegneria sociale" che sono sviluppati da persone/cyber-criminali per indurre la vittima ad aprire gli allegati infetti oppure a cliccare sui link presenti nel corpo del messaggio.
Se hai ricevuto un email sospetta, inviala al C.R.A.M. (Centro di Ricerca Anti-Malware): Come inviare mail sospette
Come si manifesta Cryakl
Il vettore d'infezione utilizzato dal Cryakl è la posta elettronica. In data 9 Settembre e 21 Settembre sono state individuate due campagne malware che veicolano il Ransomware Cryakl. Nella figura sottostante possiamo vedere l'email in cirillico (target Russia e paesi dell'Est Europa) relativa alla camapagna del 9 Settembre.
Non è da escludere che gli esempi indicati possano mutare e che altre mail circolanti siano state perfezionate o tradotte in altre lingue.
| ?????? ????????????? ?? ???????? ???????????? - Mozilla Thunderbird |
Da:
Oggetto: ?????? ????????????? ?? ???????? ????????????
A: |
Здравствуйте.
Убедительно просим Вас погасить текущую задолженность до 1.11.2018 года.
На сегодняшний день сумма Вашей общей задолженности перед ООО «БухБИГ» составляет 24,712 рублей.
Если долг не будет погашен в указанные сроки, мы будет вынуждены обратиться в суд.
Отправляю еще раз, копию счета и договор.
С уважением,
Алексей Воронов.
|
1 allegato: ????????????2??????? .zip
|
Le caratteristiche del messaggio che il malcapitato utente riceve, sembrano quelle che si manifestano quando si ricevono dei solleciti di pagamento nella casella di posta.
Il testo (tradotto) chiede di saldare un presunto debito prima del 1° Novembre 2018 ed inganna l'utente scrivendo la cifra "24.712 rubli" ed il nome di un'azienda "BuhBIG". Il fattore che però spinge l'utente ad aprire l'allegato con urgenza è una minaccia scritta nelle ultime righe del corpo della mail che dice:
"Se il debito non viene rimborsato entro il tempo specificato, saremo obbligati a presentare domanda al tribunale."
Qualora si fosse aperto l'allegato compresso per vederne il contenuto, è importante sempre verificare il tipo di file che si trova all'interno, indipendentemente dal nome ingannevole che si ha di fronte.
Il Ransomware Cryakl analizzato dal C.R.A.M. di TG Soft si "innesca" tramite l'esecuzione di un file (.scr) inserito in un file archivio ) contenuto a sua volta in un altro file ".zip" allegato ad una falsa mail.
Nel caso analizzato il file ".zip" contenente il malware ed il malware stesso vengono chiamati "копия счета и договор" [tradotto= "copia del conto e del contratto"], se l'utente apre ed esegue il file ".scr", attiverà nel sistema il Ransomware Cryakl.
|
- Nome File: <file_con_nome_cirillico>.zip
- Dimensione: 227.417 byte
- Md5: 43270C7F68329D197BE21D27AFE37250
All'interno del file "<file_con_nome_cirillico>.zip" troviamo il file "
копия счета и договор.scr" dopo essere stato eseguito crea una copia di se stesso nella cartella temporanea dell'utente che verrà poi lanciata per iniziare il processo di cifratura dei dati, l'eseguibile in questione analizzato dal
C.R.A.M. (Centro di Ricerca Anti-Malware) di
TG Soft ha le seguenti caratteristiche:
- Nome File: копия счета и договор.scr
- VirIT: Trojan.Win32.CryptCryAkl.AD
- Dimensione: 236.544 byte
- Md5: 6C01E0F297DEBE4606CF2CAB510C38AB
Il file di documento all'interno del computer saranno cifrati e rinominati in questo modo:
"email-vally@x-mail.pro.ver-CL1.5.1.0.id-2564879395-6255388384519840209810.fname-{NOME ORIGINALE FILE}.doubleoffset".
Come funziona Cryakl
Una volta eseguito il file "копия счета и договор.scr" questo si riesegue e crea un file temporaneo nella seguente path "C:\Users\[UTENTE]\AppData\Local\Temp\[NUMERO IDENTIFICATIVO]" con nome uguale al numero identificativo della vittima.
Tenta quindi di connettersi ai due server C&C:
- "dyrovpa9[.]beget[.]tech"
- "www[.]vabel[.]fr"
trasmettendo la versione del Ransomware (1.5.1.0) in addizione al numero identificativo del malcapitato utente con la seguente stringa "/inst.php?vers=CL%201.5.1.0&id=[NUMERO IDENTIFICATIVO]-248183364050830553060281&sender= HTTP/1.1".
Quindi procede estraendo una copia di se stesso in temp chiamata "
NOMECASUALE.exe" e la esegue con il seguente comando:
C:\Users\[UTENTE]\AppData\Local\Temp\[NOMECASUALE].exe "C:\Users\[UTENTE]\AppData\Local\Temp\[NOMECASUALE].exe"
questo si riesegue nuovamente
prima di procedere con la prossima fase.
Terminate le varie fasi di preparazione l'ultima esecuzione di "NOMECASUALE.exe" controlla se è ancora presente il file "C:\Users\[UTENTE]\AppData\Local\Temp\[NUMERO IDENTIFICATIVO]" e subito dopo crea una chiave di registro che imposta l'autostart del malware.
HKCU\software\microsoft\windows\currentversion\run
[NUMERO IDENTIFICATIVO] = C:\Users\[UTENTE]\AppData\Local\Temp\NOMECASUALE.exe
HKLM\software\microsoft\windows\currentversion\run
[NUMEROCASUALE] = [NUMEROCASUALE]
Crea quindi in ogni cartella del sistema il file "README.txt" contenente l'e-mail a cui rivolgersi per avere informazioni su come pagare il riscatto, come mostrato sotto:
Your files was encrypted! Write us:
vally@x-mail.pro
vally@x-mail.pro
vally@x-mail.pro
|
Inizia ora lo step di cifratura dei dati partendo dalla prima cartella in "A:\" enumerando tutte le cartelle del disco e tutte le unità presenti.
Una volta terminato il processo di cifratura ed aggiunta l'estensione ".doubleoffset" il malware procederà ad eseguire alcuni comandi che permettono l'eliminazione delle copie shadow:
C:\Windows\system32\schtasks.exe "C:\Windows\system32\schtasks.exe" /Create /RU SYSTEM /SC ONCE /TN VssDataRestore /F /RL HIGHEST /TR "vssadmin delete shadows /all /quiet" /st 00:00
open schtasks /Create /RU SYSTEM /SC ONCE /TN VssDataRestore /F /RL HIGHEST /TR "vssadmin delete shadows /all /quiet" /st 00:00 |
Il Ransomware successivamente apre una schermata con il messaggio che invita l'utente a scrivere una e-mail per avere informazioni su come decifrare i propri files all'indirizzo che verrà mostrato.
|
In figura a destra è possibile vedere la schermata al cui interno vi è l'indirizzo e-mail a cui rivolgersi per avere informazioni sul procedimento da seguire per recuperare i file ormai gia cifrati, previo pagamento del riscatto.
|
|
Il wallet indicato per il pagamento è:
WALLET = 1FJ1evxv3eUimCrtujLt78M6Uk3QJfyqpd
L'ammontare del riscatto richiesto per decifrare i files, in data 24/09/2018 risulta essere 0,1 BTC.
0.1BTC = 561.13 €
0.1BTC = 660.61 USD (Dollari statunitensi)
Ad oggi il Wallet dei malviventi ha ricevuto pagamenti per 0.03979206 BTC.
**In data 21/09/2018 è stata riscontrata una nuova campagna veicolante una variante del Ransomware con MD5 differente.
- Nome File: <file_con_nome_cirillico>.zip
- Dimensione: 159.995 byte
- Md5: 8BB56E3AC67FD9DF2879D3C1BF61B3FE
all'interno è presente il file:
- Nome File: <file_con_nome_cirillico>.scr
- VirIT: Trojan.Win32.CryptCryAkl
- Dimensione: 174.080 byte
- Md5: 0FF29C048FA497E7616FA42EE44F85AD
Non è probabilmente superfluo ricordare che i Ransomware hanno come obiettivo quello di estorcere denaro. Per questo motivo i file dai quali si attiva il processo di cifratura vengono modificati ad arte per evitare di venire riconosciuti dagli antivirus più comunemente utilizzati così da proseguire indisturbati con i loro tentativi di cifratura e relativa richiesta di riscatto.
Considerato tutto ciò, l'intercettazione del file malevolo, non può affidarsi ai metodi classici ma deve necessariamente utilizzare altre metodologie di approccio come l'euritistico-comportamentale. Queste tecnologie permettono il riconoscimento del comportamento del processo stesso una volta che questo sia attivo, indipendentemente dal file portatore, controllandone l'esecuzione e le attività svolte.
E' importante sapere che:
- Non vi è la certezza che dopo il pagamento venga inoltrato il software per provvedere alla de-cifratura dei file presi in ostaggio;
- Pagando si dà forza ai cybercriminali che con i guadagni realizzati continueranno la loro attività estorsiva con ancora maggiore impegno e con metodologie ancora più sofisticate. E' bene quindi evitare di alimentare questo "mercato".
Di seguito verranno illustrati
importanti suggerimenti per proteggersi dai
Crypto-Malware e/o mitigarne i danni qualora doveste venire in contatto dai ransomware come
Cryakl.
IOC
MD5:
8BB56E3AC67FD9DF2879D3C1BF61B3FE
43270C7F68329D197BE21D27AFE37250
6C01E0F297DEBE4606CF2CAB510C38AB
0FF29C048FA497E7616FA42EE44F85AD
URL:
dyrovpa9[.]beget[.]tech (C&C)
www[.]vabel[.]fr (C&C)
Come proteggersi dai Ransomware / Crypto-Malware
Vir.IT eXplorer PRO e' già in grado di identificare e bloccare anche questo Crypto-Malware già nelle fasi iniziale dell'attacco di cifratura dei file di dati del PC / SERVER.
Come già segnalato, le tecnologie euristico-comportamentali AntiRansomware protezione Crypto-Malware integrate in
Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, sono in grado di mitigare anche questa tipologia di attacchi riuscendo a salvaguardare dalla cifratura, mediamente, non meno del
99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al
100% grazie a
Vir.IT BackUp.
Come comportarsi per mitigare i danni derivanti dal Cryakl
Quando appare a video la segnalazione di "Alert" generata da Vir.IT eXplorer PRO, visibile appena sotto a destra, significa che le tecnologie AntiRansomware protezione Crypto-Malware stanno già BLOCCANDO il malware, a questo punto, evitando di farsi prendere dal "panico", NON chiudere la finestra ed eseguire le operazioni che vengono indicate:
- SCOLLEGARE il CAVO di RETE LAN: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
- NON RIAVVIARE IL COMPUTER: consigliamo di non spegnere e/o riavviare il PC/Server ma contattare, il prima possibile, il nostro supporto tecnico scrivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente per i clienti in possesso della licenza Vir.IT eXplorer PRO, nelle giornate lavorative dal lunedì al venerdì 8:30-12:30 e 14:30-18:30.
|
Clicca per ingrandire l'immagine
99,63%*
Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplorer PRO ==> Consulta l'informativa
|
Hai installato sui tuoi computer
Vir.IT eXplorer PRO
Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato e seguendo le indicazioni di Alert delle tecnologie AntiRansomware protezione Crytpo-Malware vi permetterà di salvaguardare dalla cifratura, mediamente, NON meno del 99,63% dei vostri preziosi file di dati.
Inoltre grazie alle tecnologie integrate in Vir.IT eXplorer PRO che sono in grado di de-cifrare e ripristinare i file cifrati è possibile de-cifrare/ripristinare fino al 100% dei file eventualmente cifrati nella fase iniziale dell'attacco.
Queste tecnologie vengono di seguito elencate:
- Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO è in grado di catturare la chiave di cifratura privata nell'unico momento questa è disponibile in chiaro, ovvero quando si attiva il processo di cifratura. Utilizando la chiave di cifratura attraverso i tools integrati di Vir.IT eXplorer PRO sarà possibile de-cifrare i files crittografati nella fase iniziale dell'attacco senza perdere alcuna modifica.
- Per alcune tipologie/famiglie di Crypto-Malware Vir.IT eXplorer PRO mediante il Backup on-the-fly. Si tratta di una tecnologia integrata nello scudo residente in tempo reale, che effettua automaticamente copie di sicurezza delle più comuni tipologie di file di dati (file con dimensione inferiore ai 3 MB). Le copie di sicurezza eseguite dal Backup on-the-fly permettono il ripristino dei file senza perdere alcuna modifica.
- Vir.IT Backup.Qualora la de-cifratura o il ripristino dei file mediante le due tecnologie sopra elencate non permettesse di recuperare tutti i file cifrati nella fase iniziale dell'attacco, sarà possibile ripistinare i file mancanti dai file di backup generati da Vir.IT Backup.
|
NON hai un software AntiVirus-AntiSpyware-AntiMalware in grado di bloccare la cifratura da attacchi Crypto-Malware di nuova generazione...
Se nel sistema non è presente alcuno strumento in grado di segnalare e bloccare la cifratura dei file, nel caso specifico di attacco Crypto-Malware, consigliamo di:
- SCOLLEGARE il CAVO di RETE LAN;
- SPEGNERE il PC / SERVER in modo da limitare eventualmente il numero di file cifrati.
- Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.
|
Per maggiori info vi invitiamo a contattare la nostra segreteria amministrativo-commerciale chiamando in orario ufficio lo 049.8977432.
C.R.A.M.
Centro Ricerche Anti-Malware di
TG Soft
Torna ad inizio pagina
*Percentuale media di file salvati dalla crittografazione grazie alla tecnologia Anti-CryptoMalware integrata in Vir.IT eXplorer PRO determinata sulla base degli attacchi verificati oggettivamente dal C.R.A.M. di TG Soft nel mese di ottobre 2015.
