Nuovo ransomware propone bitmessage per dialogare con le vittime

E’ stata rilevato da un paio di giorni un nuovo ransomware che cripta i documenti senza cambiarne l’estensione ma non lascia, come di solito accade, una indicazione circa i bitcoin necessari per il riscatto o una pagina nel dark web da consultare per pagarlo. Chi ha divulgato questo ransomware chiede invece di mettersi in contatto con lui tramite gli indirizzi “[email protected]” e “[email protected]” specificando, se tali indirizzi email dovessero diventare inservibili, che lui riceve le richieste di assistenza anche all’indirizzo BitMessage “BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2”. Gli indirizzi email possono essere chiusi, sequestrati, per la maggior parte monitorati… BitMessage no, ed è per questo che il delinquente lo propone nel messaggio che lascia sui PC infetti come metodo “guaranteed” e “foolproof” di comunicazione con le vittime, spiegando anche alle vittime dove scaricare il software, come creare una nuova identità e inviare un messaggio segreto.

Bitmessage è un sistema peer-to-peer decentralizzato nato nel 2012, anonimo che permette di dialogare in sicurezza uno a uno oppure uno a molti tramite funzioni di broadcast, sfruttando un sistema di comunicazione basato su proof-of-work, chiavi pubbliche e private simile al protocollo Bitcoin. A differenza del Bitcoin, Bitmessage viene utilizzato per scambiare messaggi privati e anonimi, non criptomoneta mediante una blockchain. Per chi vuole approfondire il protocollo bitmessage, è disponibile il whitepaper ufficiale.

Non è ancora chiara la modalità di diffusione del ransomware, quello che è certo è che il payload si presenta come un eseguibile dal nome “Cancel Autoplay 2” e con l’icona di un CDROM con una X rossa davanti, compatibile con l’idea di cancellare l’autoplay.

Il cryptovirus lascia, in ogni cartella criptata, un messaggio con la comunicazione per la vittima nel file in codifica UTF16 Little Endian “4-15-2016-INFECTION.TXT” e una chiave di 512 byte esadecimali, presumibilmente la chiave pubblica della vittima, nel documento di testo “4152016000.KEY”.

Mentre il file “4152016000.KEY” contiene un valore binario di 512 byte convertito in esadecimale, il file “4-15-2016-INFECTION.TXT” codificato in UTF-16 LE è leggibile e contiene questo testo:

YourID: 2886098
PC: HOME
USER: user
*********
Hey

Your files are now encrypted. I have the key to decrypt them back. I will give you a decrypter if you pay me. Email me at: [email protected] or [email protected]

If you don’t get a reply or if both emails die, then contact me using a guaranteed, foolproof
Bitmessage: download it form here https://github.com/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-
0.5.8.exe

Run it, click New Identity and then send me a message at BM-NBvzKEY8raDBKb9Gp1xZMRQpeU5svwg2

Cheers

Tra l’altro, questa novità del file di richiesta di riscatto TXT in codifica UTF-16 LE fa sì che sistemi d’identificazione di ransomware come il noto ID-Ransomware di MalwareHunterTeam non ne permettano l’upload e quindi il riconoscimento, generando un errore sollevato da CloudFlare che rileva l’upload del file come una possibile minaccia.

Per chi fosse curioso circa come convertire un file di testo txt da UTF-16 LE (UTF 16 Little Endian) in UTF-8 (quindi leggibile da qualunque text viewer e “innocuo” anche per CloudFlare) su Linux e Mac si può utilizzare il comando iconv -f UTF-16BE -t UTF-8 4-15-2016-INFECTION.TXT > 4-15-2016-INFECTION-UTF8.TXT ottenendo quindi un file in codifica UTF-8.

Il trojan risulta, per alcuni aspetti, simile al ransomware Salam e al cryptovirus Boyah, comparsi sulla scena da poche settimane e descritti in diversi forum a partire da Bleeping Computer. Nel forum di Malekal [WBM] è stato invece rilevato un sample della infezione descritta in questo post, che viene inserita nel thread che parla dei “virus-encoder” o “Crypto-Ransomware” come Criakl, che richiedono il riscatto sulle coppie d’indirizzi email [email protected] e [email protected], [email protected] e [email protected], [email protected] e [email protected] ma non propongono l’uso del protocollo bitmessage alternativo agli indirizzi di posta elettronica.

Dall’analisi svolta da hybrid-analysis, il trojan sembra mettersi in contatto con il dominio “kentamplin.net” eseguendo una GET sulla risorsa “/wordpress/wp-includes/oops.php”, passando delle informazioni presumibilmente al Command & Control che utilizza un CMS WordPress bucato per parlare con il ransomware. Vengono inviati parametri quali id, cname, arch, srv e ver, come in questo esempio “id=2886098&cname=mh6SlMrX8b&arch=0&srv=0&ver=6.1 HTTP/1.1”.

Rispetto a ieri, diversi antivirus cominciano a rilevare la minaccia, identificandola con le sigle più disparate, Filecoder, Cryptodefense, Cryptor, Ransom.Mobef, Filecoder.NGG, Crypt.EPACK.avbd, etc…

Il sample del ransomware ricavato dal PC infetto (non si tratta quindi del “dropper” ma del “payload”) ha i seguenti valori hash:

MD5: 116d442d8ec5c62f32c7ba507a5569be
SHA1: fb93796afa470d87deb316823d3cd6e8d8b18596
SHA256: ce98e9d9900609c45c948d34153c03b490bc2067e7a742048f60ed53fe95529d

Le analisi pubbliche del sample su VirusTotal e Hybrid Analysis sono disponibili ai seguenti link:

https://www.virustotal.com/en/file/ce98e9d9900609c45c948d34153c03b490bc2067e7a742048f60ed53fe95529d/analysis/
https://www.hybrid-analysis.com/sample/ce98e9d9900609c45c948d34153c03b490bc2067e7a742048f60ed53fe95529d?environmentId=1

Aggiornamento del 20 aprile 2016

Su un post del sito Bleeping Computer un utente riporta la segnalazione di un’infezione identica a quella descritta qui e il trojan viene chiamato “Mobef“.

Termini di ricerca frequenti

Ransom Mobef
Mobef Crypt
Bitmessage Indirizzi
Bitmessage
Info Ransom Mobef
Blockchain And Ransomware
Ransomware Maggio 2016

Marco ha detto:

27 Giugno 2016 alle 12:02

da noi è stato creato un Backup criptato, tutti i file sono rinominati con estensione : [email protected]
Non so cosa fare

Rispondi

Paolo Dal Checco ha detto:

27 Giugno 2016 alle 12:27

Sembra si tratti del cryptovirus Troldesh/Shade, sembra che nessuno abbia ancora trovato come decifrare i file criptati con estensione [email protected], che poi non si tratta di altro che dell’indirizzo mail sul quale il delinquente che ha diffuso il ransomware vorrebbe essere contattato per fornire indicazioni sul riscatto in bitcoin per decriptare i documenti. Sconsigliamo di pagare il riscatto o scrivere a [email protected], si farebbe soltanto il gioco dei criminali. Consigliamo invece di attendere che i ricercatori scoprano come recuperare i documenti criptati da Troldesh/Shade e producano un decryptor gratuito, non appena dovesse uscire ne pubblicheremo la notizia sul Ransomware Blog.

Rispondi
1. Fabiano ha detto:
  
  27 Giugno 2016 alle 16:40
  
  è arrivato un crypotovirus in una mail della DHL non so ancora i suoi effetti,
  naturalmente era un falso messaggio della DHL che chiedeva di confermare
  una spedizione, con modulo allegato in zip il pc si è bloccato non so dire altro
  con un occhio attento si poteva prevenire. nel messaggio c’era un n rovesciata
  (cirillico?)
  
  Rispondi
  1. Paolo Dal Checco ha detto:
    
    27 Giugno 2016 alle 19:38
    
    Se ha tenuto copia della mail ce la invii tramite l’indirizzo [email protected] che cerchiamo di capire di che cryptovirus si tratta e come recuperare i documenti cifrati, se possibile tramite strumenti gratuiti. Allo stesso modo, se ha qualche file criptato, qualcuno corrispondente in chiaro e l’eventuale richiesta di riscatto.
    
    Rispondi

Francesco ha detto:

5 Maggio 2016 alle 10:40

QUalcuno è riuscito a decriptare o riavere i files pagando?

Ada g ha detto:

22 Aprile 2016 alle 10:45

anche i nostri pc sono stati attaccati da questa versione del virus. si generano due file uno txt che avete riportato con esattezza e uno con estensione .key. esiste qualche possibilità di decriptare i file?

Peter Surda ha detto:

17 Aprile 2016 alle 19:19

I find it sad that this is how people use Bitmessage.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Termini di ricerca frequenti

Lascia un commento Annulla risposta