Gli autori di CryptXXX “bypassano” il decryptor

La reazione – da parte dei virus writer che hanno creato il temibile CryptXXX – alla comparsa del relativo decryptor, non si è fatta attendere: come riporta Softpedia nel proprio sito web, sulla base di quanto dichiarato da Proofpoint, i cybercriminali in questione hanno rapidamente rilasciato un aggiornamento, il quale consente, in pratica, di eludere l’azione protettiva svolta dall’apposito strumento di decodifica, adibito al ripristino dei file cifrati. Il suddetto ransomware, inoltre, ha iniziato a bloccare lo schermo, privando in tal modo la vittima della possibilità di accedere non solo ai file criptati, bensì all’intero sistema. Di conseguenza, adesso, il computer infetto non può essere nemmeno utilizzato per effettuare il pagamento del riscatto richiesto dai malintenzionati.

Il blocker crittografico denominato CryptXXX è stato scoperto da Proofpoint verso la metà dello scorso mese di aprile. Allora, nello schema utilizzato per distribuire tale malware, risultava coinvolto, a tutti gli effetti, l’exploit kit Angler, attraverso il quale veniva recapitato, sulla macchina infetta, Bedep, il downloader che poi provvedeva a caricare sul computer-vittima il cryptoblocker e Dridex. L’analisi condotta dagli esperti ha evidenziato che, oltre a mettere in atto le funzionalità tipiche dei cryptoblocker, il nuovo arrivato è ugualmente in grado di sottrarre dati dai client di posta, IM e FTP, così come dal browser. I ricercatori hanno anche rilevato elementi di somiglianza, da parte di CryptXXX, con il famigerato “virus-poliziotto” Reveton, e suppongono che dietro entrambi i malware si celi lo stesso identico gruppo criminale.

Dopo aver rilasciato la prima versione di CryptXXX, i malintenzionati hanno subito iniziato a modificare e perfezionare il blocker da essi creato. “Abbiamo rilevato numerose volte i risultati dell’evoluzione compiuta da tale malware, dal momento della sua comparsa; i cambiamenti apportati dai virus writer, tuttavia, risultavano talmente trascurabili al punto da non meritare specifiche menzioni o approfondimenti, – ha osservato il team di Proofpoint. – Come era lecito attendersi, il numero dei malfattori intenti alla diffusione di CryptXXX è sensibilmente aumentato… In queste ultime settimane, in effetti, nell’arena globale del “drive-by”, si assiste all’evidente migrazione di alcuni dei principali attori della scena del malware da Teslacrypt/Locky a CryptXXX/Cerber”.

In risposta alla nuova minaccia IT manifestatasi, gli esperti di Kaspersky Lab avevano prontamente rilasciato un toolkit di decodifica, il quale permetteva di ripristinare, in forma gratuita, i file in precedenza cifrati da CryptXXX. Purtroppo, con l’avvento della versione 2.006 del ransomware, tale strumento dovrà essere necessariamente modificato e ristrutturato: in effetti, nei confronti dell’ultima versione del blocker, il decryptor in questione si rivela ormai inutile. Lo strumento di decodifica attuale necessita della copia originale (non cifrata) di almeno uno dei file criptati, ed in tal modo esso è in grado di ripristinare tutti i file aventi la stessa identica dimensione, o dimensioni inferiori. A quanto pare, tale limitazione sembra aver suggerito ai malintenzionati il metodo di elusione da essi adottato. Le analisi condotte da Proofpoint su CryptXXX 2.006 hanno dimostrato che tale versione del malware, molto probabilmente, utilizza la libreria di compressione zlib 1.2.2. I ricercatori ritengono che sia proprio tale “miglioramento” ad ostacolare in maniera decisiva il funzionamento del decryptor, il quale, adesso, una volta avviato, restituisce regolarmente il seguente messaggio di errore: “La dimensione del file criptato non è uguale a quella del file originale”.

Il nuovo CryptXXX, inoltre, fa in modo che l’utente-vittima visualizzi, a tutto schermo, una sorta di “screensaver”, attraverso il quale il malware crittografico rivela la propria presenza; tale schermata, di fatto, blocca in maniera efficace il desktop (ricordiamo che i blocker della generazione precedente, ed in particolar modo Reveton, agivano nello stesso identico modo). È piuttosto curioso osservare come nel messaggio in lingua inglese sia stato inserito un link a Google Translate (il traduttore automatico di Google), che si raccomanda di utilizzare nel caso in cui la vittima parli una lingua diversa. Gli esperti di Proofpoint riferiscono, nello specifico, che questo link, così come tutti gli altri, collocati sul wallpaper, risulta inattivo: d’altra parte, anche se lo volesse, la vittima non potrebbe in alcun modo utilizzarlo attraverso il computer sottoposto ad attacco.

I ricercatori non hanno potuto verificare se, una volta effettuato il pagamento del riscatto, il blocco applicato allo schermo del computer venga poi effettivamente rimosso. Tuttavia, sulla base dell’esperienza derivante dalla conoscenza di Reveton, essi hanno avanzato l’ipotesi che, in ransomware provvisti di simili caratteristiche, debba essere presente, in linea di principio, una specifica funzione in base alla quale il computer infetto dovrebbe comunque connettersi periodicamente con il C&C, e verificare, quindi, lo stato del pagamento.

È stato inoltre rilevato come abbiano cambiato il loro nome i file contenenti il testo relativo alla richiesta di pagamento del riscatto, file creati da CryptXXX all’interno delle cartelle che custodiscono i dati cifrati dal malware. Si trattava, in precedenza, di file denominati “de_crypt_readme”, e provvisti di estensione .bmp, .txt o .html; la versione 2 del cryptoblocker utilizza invece, in qualità di nome, un ID personalizzato, assegnato alla vittima in base ai dati presenti nel computer preso di mira.

È stata ugualmente notata una lieve modifica sulla pagina riservata alle istruzioni necessarie per l’effettuazione del pagamento: i malintenzionati, adesso, chiamano il proprio strumento di decodifica con il nome di Google Decrypter, anziché Cryptowall Decrypter, come avveniva in precedenza.

Il metodo di cui fanno uso i malfattori per diffondere CryptXXX 2.006 è rimasto lo stesso: gli estorsori preferiscono utilizzare, tuttora, i banner pubblicitari malevoli, in qualità di redirector verso il famigerato exploit pack Angler; quest’ultimo provvede a recapitare direttamente il blocker alla vittima, tramite l’apposito exploit, oppure ricorre all’impiego del downloader Bedep, che, nella circostanza, agisce in qualità di malware intermediario.

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *