Ransom32, ransomware in azione

[ratings]

In ambiente sicuro e protetto abbiamo deciso di infettare una nostra macchina virtuale con installato windows 10 con il pericoloso Ransom32. Tramite un video e un approfondimento scritto osserviamo assieme cosa succede ai computer che vengono infettati da questo dramma che attualmente sta invadendo i nostri computer.

Uno dei migliori metodi per combattere un nemico è conoscerlo bene; così abbiamo iniziato il test creando una macchina virtuale con Windows 10. Abbiamo voluto simulare un computer tradizionale inserendo alcune fotografie e un paio di documenti nelle cartelle utente predisposte dal sistema operativo oltre ad inserirne altre, assieme a un file compresso in RAR, in una cartella sul desktop.

Analizziamo Ransom32

Prima di partire abbiamo analizzato i due file infetti (uno con ambiente tor già integrato nell’eseguibile) e il risultato è stato ovvio e tristemente allarmante: Su 54 antivirus solamente 3 hanno rilevato una potenziale minaccia. I tre più attenti sono stati: ClamAV, Kaspersky e Qihoo-360. C’è da dire che, tali antivirus, avrebbero impedito l’avvio di questa minaccia ma non sarebbero stati in grado di decriptare i file una volta che il virus avesse effettuato il suo sporco compito di criptazione.

ransomware vs antivirus

Avviamo ramsonware

A questo punto abbiamo avviato l’eseguibile che conteneva il ransomware e un avviso di Windows ci chiede se siamo realmente intenzionati ad avviare l’applicazione. Questo avviso non desta preoccupazione in quanto molti software che installiamo nel quotidiano ci mostrano tale avviso e spesso, ingenuamente, non lo consideriamo e facciamo in modo che l’installazione prosegua senza strani allarmismi. Durante questo periodo di nostra inattività (possiamo simulare una pausa caffè) possiamo notare che la CPU e il DISCO iniziano, giustamente, a diminuire il loro lavoro portandosi rispettivamente intorno al 7%(CPU), al 0/10%(DISCO). I processi sono a 39/41 e i thread non superiori a 612.

Dopodichè abbiamo avviato il controllo delle attività di Windows e fatto partire un timer (03:51 del video) per controllare dopo quanto il virus iniziava la sua attività di crittografia.

Dopo 1 minuto 52 secondi possiamo notare che il disco inizia lentamente a lavorare. A 3 minuti e 3 secondi i processi passano da 39 a 41 e il disco fisso pian piano aumenta la percentuale di lavoro fino a 03:59 che sia disco che cpu passano a balzi toccando il 100% di lavoro. Ovviamente è qui che il ransomware, sfruttando l’assenza dell’operatore, ha deciso di iniziare la criptazione dei dati all’interno del computer. Al termine del suo “lavoro” e cioè dopo 7 minuti e 24 secondi (ma questo periodo di tempo varia da quanti dati sono all’interno del computer della vittima) ci presenta il conto. Nel video abbiamo oscurato sia l’indirizzo bitcoin che il valore richiesto ma possiamo notare che ci informano che tutti i dati sono criptati (foto,documenti,database, etc) e che una chiave privata è stata generata dal computer. Veniamo informati che non abbiamo accesso a tali dati fino a che non saranno decriptati. La chiave privata è custodita nei loro server e che c’è solo una via per riceverla e, quindi, consentire il decrypt: procedere al pagamento. Ci vengono offerti 7 giorni di tempo per pagare ma, dopo 3 il prezzo aumenterà. Due bottoni al centro: CHECK ci farà connettere alla rete TOR e il sistema andrà a controllare nella blockchain se il pagamento è stato effettuato. L’altro bottone ci mostra alcune informazioni su come acquistare bitcoin. In particolare consigliano Coinbase, Localbitcoin, Btcdirect e Coinmania. Tutti questi siti non fanno parte della truffa ma sono legali e leciti siti di vendita/scambio/acquisto bitcoin. A questo punto verifichiamo i nostri file e, con difficoltà(in quanto la schermata che ci avvisa dell’infezione cerca d’essere sempre in primo piano), possiamo confermare quello che ci è stato informato tramite la maschera d’avviso. Abbiamo anche possibilità di decriptare un file prima di pagare; proviamo a farlo e, dopo un breve collegamento in tor, il file viene decriptato e ritorna fruibile.

Paghiamo il riscatto

Dopo qualche test si decide di effettuare il versamento all’indirizzo bitcoin e premiamo il bottone Check Payment. Starting Tor Network ci avvisa del controllo nella block chain sfruttando la rete anonima tor e, dopo una decina di secondi, compare sul desktop la nostra chiave privata e un collegamento chiamato “Decrypt Ransom32 files” che fa riferimento a una cartella. In contemporanea si avvia una nuova maschera che mostra i nostri file del disco fisso e, tramite il task manager vediamo che cpu e disco fisso stanno lavorando decriptando i nostri files. Dall’elenco dei file che ci vengono mostrati in questa sequenza, possiamo notare che il virus non si è limitato a criptare foto e file che avevamo sul desktop e nelle cartelle predisposte agli utenti di Windows, ma ha lavorato su tutto il disco. Al termine veniamo informati che tutti i file sono stati decriptati. Verifichiamo e così è stato.

Il collegamento sul desktop, creata da Ransom32, fa riferimento a una cartella in  C:\Utenti\User\AppData\Roaming\Lede Hago\

Per chi intendesse verificarne il contenuto per studiarli o per contribuire a fermare questa epidemia abbiamo compresso tali file potete prelevarli a questo link: http://aabbcc.it/1h (ATTENZIONE in quanto il materiale al suo interno non è stato controllato ed è così come ci viene rilasciato da Ransom32)

Guardiamo il video integrale:

Alcune considerazioni:

  • Quando nella schermata di Ransom32, chiediamo il decrypt di un file, per testare se effettivamente il mezzo funziona, il ransomware fa esattamente quello che poi ha fatto successivamente dopo il pagamento. A questo punto una domanda sorge spontanea: Considerando che tutti i file sono stati criptati con la stessa chiave privata(che poi ci viene consegnata sul desktop) probabilmente in quel momento questa chiave viene in qualche modo archiviata in memoria (ram o hdd) per poter esaudire la nostra richiesta. Mi chiedo se case di Antivirus non abbiano le capacità per recuperare questa chiave sfruttando per l’appunto il file di test.
  • Come avete notato non sono esenti da criptazione nemmeno i file compressi che vengono rilevati e resi inutilizzabili.
  • Riguardo agli antivirus.. mi pare ovvio che oggi non bastano più. Attualmente un possessore di un computer dovrebbe aver installato oltre a un antivirus anche un buon anti-malware e exploit oltre ad avere un buon sistema per scoprire attività sospette. Per questo, dopo il video dell’infezione, abbiamo provato HitmanPro 3.7.12 che, durante l’installazione, ha individuato Ransom32 etichettandolo come Trojan.

0e8194af48b9447c278e7fbbc44dccae

To be continue..

Faremo ulteriori articoli effettuando test approfonditi sul pc di test, per riuscire ad offrire ai lettori mezzi e strumenti per debellare o comunque ridurre questa piaga.

Grazie per l’interesse e la lettura.

 

 

 

Avatar

Mirko Feriotti aka Ziomik

Profeta del Bitcoin sin dagli esordi e fermamente convinto sulle potenzialità della moneta decentralizzata.

Lascia un commento

Non perdere i nuovi articoli e le opportunità sulle criptovalute. Iscriviti alla newsletter!
Iscrizione