Nuovo cryptomalware in circolazione: attenzione a HydraCrypt!

Il C.R.A.M. di TG Soft ha individuato una nuova famiglia di cryptomalware, quella del HydraCrypt (CryptoXXX).

Questo cryptomalware crittografa file di documento (come .txt, .doc, .ppt, .mdb, .xls, etc), e li rinomina aggiungendo l'estensione .crypt.

Per decrittografare i file, anche in questo caso viene richiesto un riscatto in BitCoin.

INDICE

==> Come si manifesta HydraCrypt

==> Il riscatto richiesto da HydraCrypt

==> Come proteggersi da HydraCrypt

==> Come comportarsi per mitigare i danni derivanti da HydraCrypt

==> Posso recuperare i file cifrati?

==> Considerazioni finali

Come si manifesta HydraCrypt

Trojan.Win32.HydraCrypt viene scaricato ed eseguito nel PC tramite un malware appartenente alla famiglia Trojan.Win32.Sathurbot.
Il Trojan.Win32.Sathurbot viene caricato all'avvio del computer agganciandosi alla shell di windows, e più precisamente utilizza la chiave del registro:

[HKEY_CLASSES_ROOT\Drive\ShellEx\FolderExtensions\{stringaCLSID}]

dove {stringaCLSID} corrisponde alla chiave:

[HKEY_CURRENT_USER\Software\Classes\CLSID\{stringaCLSID}]

al suo interno contiene la chiave "InprocServer32" dove è scritto il percorso del file del Trojan.Win32.Sathurbot

%allusersprofile%\{stringaCLSID_casuale}\<nomecasuale>.dll

Il Trojan.Win32.Sathurbot principalmente esegue attività di downloader, ovvero scarica altri malware e ne permette la loro esecuzione in modo silenzioso.
Solitamente l'infezione avviene attraverso qualche vulnerabilità di Java, Flash Player e/o Adobe Reader che viene attivata durante la navigazione su qualche sito web compromesso.

Il Trojan.Win32.HydraCrypt si presenta come un file .dll. e viene copiato all'interno di una sottocartella della cartella temporanea dell'utente %TEMP%\{stringacasuale}\ e da qui è messo in esecuzione utilizzando il modulo di windows rundll32.exe, seguito dal parametro "Working". Alcune informazioni riguardanti i sample raccolti dal C.R.A.M.:

NOME FILE: 13BO.tmp.dll
DIMENSIONE: 319488 byte
MD5: 9330242B1AB1BF2EB14142D1793BBA59

NOME FILE: api-ms-win-system-crypt32-l1-1-0.dll
DIMENSIONE: 215040 byte
MD5: 61A8470C8E299A036DFAE93BBF7788FD

NOME FILE: api-ms-win-system-msvcp60-l1-1-0.dll
DIMENSIONE: 215040 byte
MD5: 29C97C6F6AAEF25690D78285EE41727A

NOME FILE: api-ms-win-system-WMVCORE-l1-1-0.dll
DIMENSIONE: 270336 byte
MD5: F782229CFE781A1184289F9A600E007A

Come si può notare, alcuni sample raccolti hanno il nome molto simile alle librerie legittime di windows. Logicamente ricordiamo che i file legittimi di windows non si trovano dentro la cartella temporanea dell'utente ma dentro %systemroot%\system32

HydraCrypt crittografa i file con estensioni, come quelle riportate nella tabella sottostante, e li rinomina aggiungendo al nome originale l'estensione .crypt.

.3dm, .3ds, .7z, .accdb, .aes, .ai, .apk, .app, .arc, .asc, .asm, .asp, .aspx, .bat, .brd, .bz2, .c, .cer, .cfg, .cfm, .cgi, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .css, .csv, .cue, .db, .dbf, .dch, .dcu, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dtd, .dwg, .dxf, .eml, .eps, .fdb, .fla, .frm, .gadget, .gbk, .gbr, .ged, .gpg, .gpx, .gz, .h, .htm, .html, .hwp, .ibd, .ibooks, .indd, .jar, .java, .jks, .js, .jsp, .key, .kml, .kmz, .lay, .lay6, .ldf, .lua, .m, .max, .mdb, .mdf, .mfd, .mml, .ms11, .msi, .myd, .myi, .nef, .note, .obj, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pct, .pdb, .pdf, .pem, .php, .pif, .pl, .plugin, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .priv, .private, .ps, .psd, .py, .qcow2, .rar, .raw, .rss, .rtf, .sch, .sdf, .sh, .sitx, .sldx, .slk, .sln, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tgz, .tlb, .txt, .uop, .uot, .vb, .vbs, .vcf, .vcxproj, .vdi, .vmdk, .vmx, .wks, .wpd, .wps, .wsf, .xcodeproj, .xhtml, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip, .zipx, , .3g2, .3gp, .aif, .asf, .asx, .avi, .bmp, .dds, .flv, .gif, .iff, .jpg, .m3u, .m4a, .m4v, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpg, .png, .pspimage, .ra, .rm, .srt, .tga, .thm, .tif, .tiff, .tmp, .vob, .wav, .wma, .wmv, .yuv

Torna ad inizio pagina

Il riscatto richiesto da HydraCrypt

I file che vengono crittati da HydraCrypt per essere decrittografati necessitano del pagamento di un riscatto di 500 dollari americani in BitCoin.

HydraCrypt, al termine della crittografazione, genera nelle cartelle interessate dal suo operato tre file con le istruzioni per il pagamento del riscatto:

de_crypt_readme.bmp
de_crypt_readme.html
de_crypt_readme.txt

I file contenenti le informazioni per il pagamento del riscatto e la stessa pagina dove inserire le coordinate del pagamento sono uguali a quelle associate al CryptoWall.

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption with RSA4096
More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen ?
!!! Specially for your PC was generated personal RSA4096 Key , both public and private.
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret Server

What do I do ?
So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy way
If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

1 - http://klgpcoXXXjzpca4z.onion.to

Your personal id 9AXXFB768741
If for some reasons the addresses are not available, follow these steps:

1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - After a successful installation, run the browser
3 - Type in the address bar: http://klgpcoXXXjzpca4z.onion
4 - Follow the instructions on the site IMPORTANT INFORMATION

Your personal pages http://klgpcoXXXjzpca4z.onion.to
Your personal page Tor-Browser http://klgpcoXXXjzpca4z.onion
Your personal id 9AXXFB768741

Torna ad inizio pagina

Come proteggersi da HydraCrypt

A partire dalla versione 8.1.45 (aggiornamento del 5 aprile 2016) è stato adeguato l'automa euristico-comportamentale integrato in Vir.IT eXplorer PRO, rendendolo in grado di bloccare nella fase iniziale dell'attacco anche HydraCrypt.

Come già segnalato, la tecnologia Anti-CryptoMalware di Vir.IT eXplorer PRO se correttamente installato, configurato, aggiornato ed utilizzato, è in grado di mitigare anche questa nuova tipologia di attacco CryptoMalware riuscendo a salvaguardare dalla crittografazione, mediamente, non meno del 99,63% dei file di dati di PC e SERVER, permettendo il recupero dei file crittografati nella fase iniziale dell'attacco fino al 100% grazie a Vir.IT BackUp.

Dati per ragionevolmente certi i corretti:

INSTALLAZIONE;
AGGIORNAMENTO sia delle Firme sia del Motore;
CONFIGURAZIONE in particolare dello scudo residente Vir.IT Security Monitor con spuntata la voce "Protezione Anti-Crypto Malware" dalla finestra delle opzioni delle scudo residente in tempo reale nonchè attivato Vir.IT BackUp, backup avanzato che permette di avere con ragionevole certezza una copia dei file di lavoro preservata dalla crittografazione dalla quale procedere al ripristino.

Torna ad inizio pagina

Come comportarsi per mitigare i danni derivanti da HydraCrypt

Quando compare la videata di Alert qui a fianco significa che la protezione Anti-CryptoMalware integrata in Vir.IT eXplorer PRO sta agendo e quindi, evitando di farsi prendere dal "panico" NON chiudere la finestra ed eseguire le operazioni che vengono indicate:

Procedere ad EFFETTUARE l'AGGIORNAMENTO delle firme dell'AntiVirus.
SCOLLEGARE IL CAVO DI RETE: in questo modo si isolerà fisicamente quel PC / SERVER dagli altri computer eventualmente collegati con questo in rete Lan mantenendo confinato l'attacco solamente a quel computer.
ESEGUIRE una SCANSIONE con Vir.IT eXplorer PRO su tutto il disco per rilevare la presenza della variante di TeslaCrypt.
NON RIAVVIARE IL COMPUTER: è bene precisare che lo spegnimento e il successivo riavvio del PC / SERVER, in questa particolare situazione, ha come risultato quello di far progressivamente aumentare il numero di file che il CryptoMalware riuscirà a crittografare eludendo la protezione di Vir.IT eXplorer PRO, quindi vi invitiamo a MANTENERE il PC / SERVER ACCESO e contattare, il prima possibile, il nostro supporto tecnico scivendo una mail segnalando la situazione in atto all'indirizzo assistenza@viritpro.com e successivamente contattare i numeri del supporto tecnico 049.631748 e 049.632750 disponibili, gratuitamente, nelle giornate lavorativi dal lunedì al venerdì 9:00-12:30 e 14:30-18:00.

Videata protezione Anti-CryptoMalware integrata in Vir.IT eXporer PRO

Clicca per ingrandire l'immagine

99,63%^*
Aspettativa percentuale media di file salvati dalla crittografazione grazie alla protezione Anti-CryptoMalware di Vir.IT eXplore PRO ==> Consulta l'informativa

Posso recuperare i file cifrati?

Con protezione Anti-Crypto Malware integrata in VirIT, il numero dei file cifrati da HydraCrypt saranno al più qualche decina.

I file "sacrificati" durante la mitigazione dovranno essere sostituiti con una copia di backup o provando qualche tool, attualmente esistente, per il recupero dei file crittografati .crypt.

Nei casi analizzati dal C.R.A.M. di TG Soft, non è stato possibile recuperare i file utilizzando le shadow copies dei giorni precedenti all'attacco dato che il malware ne effettua la cancellazione.

Torna ad inizio pagina

Considerazioni finali

Nel caso si sia scatenata la crittografazione vi invitiamo a mentenere la calma poichè potreste trovarvi in una di queste situazioni:

siete clienti di Vir.IT eXplorer PRO che se correttamente installato, configurato, aggiornato, utilizzato e seguendo le indicazioni della videata di Alert della tecnologia Anti-CrytpoMalware vi permetterà di salvare dalla crittografazione dei vostri preziosi file di dati, mediamente, NON meno del 99,63% del vostro lavoro;
NON avete installato un software AntiVirus in grado di segnalare e bloccare la crittografazione dei file, nel caso speciofico di attacco HydraCrypt, procedere a:
- SCOLLEGARE il CAVO di RETE LAN;
- SPEGNERE il PC / SERVER di modo da limitare il numero di file cifrati.
- Contattare il proprio supporto tecnico sistemistico segnalando la situazione di particolare criticità in atto eventualmente facendo riferimento alla presente informativa.

Se vi troviate nel caso 1., dove grazie a Vir.IT eXplorer PRO e alle tecnologie Anti-CryptoMalware integrate avrete la ragionevole speranza di salvare dalla crittografazione fino al 100% dei file di dati del Vs. prezioso lavoro, vi invitiamo e a contattare, il prima possibile, il supporto tecnico di TG Soft.

Nel caso 2., non avendo Vir.IT eXplorer PRO, non possiamo che invitarvi a mantenere la calma e a contattare il vostro supporto sistemistico di riferimento e a valutare, per prevenire queste tipologie di attacchi, l'utilizzo di Vir.IT eXplorer PRO AntiVirus-AntiSpyware-AntiMalware con tecnologie Anti-CryptoMalware integrate.

TG Soft
Centro Ricerche Anti-Malware

Torna ad inizio pagina

Ogni informazioni pubblicata sul nostro sito può essere utilizzata e pubblicata su altri siti internet, blog, forum, facebook e/o in ogni altra forma sia in modalità cartacea che elettronica a patto che venga sempre e comunque citata la fonte esplicitamente “Fonte: C.R.A.M. by TG Soft www.tgsoft.it” con link cliccabile all'informativa e/o pagina web originale da cui sono stati estrapolati contenuti testuali, spunti e/o immagini.

Sarà gradito nel caso di utilizzo dell'informativa del C.R.A.M. by TG Soft www.tgsoft.it nella relazione di articoli di sintesi il riconoscimento/ringraziamento di seguito “Si ringrazia il Centro Ricerche Anti-Malware C.R.A.M. by TG Soft di cui segnaliamo il link diretto all'informativa originale:[link diretto cliccabile]”