Nuovo ransomware Parisher LOKMANN.KEY993 variante di Mobef

Da qualche giorno arrivano segnalazioni di infezioni da parte di un nuovo ransomware che non ha ancora nome ma sembra essere una variante del cryptovirus Mobef e di sue varianti di cui abbiamo parlato ad aprile.

Il trojan sembra colpire sistemi server e oltre a criptare i documenti presenti su dischi locali cifra anche i file raggiungibili tramite condivisioni di rete o NAS. Non è ancora chiaro quale sia il vettore ma non sembra essere legato a mail, allegati o pagine web, tanto che chi ha segnalato l’infezione dal ransomware Lokmann.key993 ha riportato di non aver eseguito alcuna attività sul sistema che possa aver causato l’avvio del payload o dell’exploit kit. Il ransomware sembra anche essere stato in grado di fare privilege escalation e agire come Administrator.

Una volta terminata l’infezione e cifrati numerosi documenti senza cambiarne l’estensione, il ransomware lascia sul PC un file dal nome “LOKMANN.KEY993” contenente 1024 caratteri esadecimali (presumibilmente una chiave da 512 byte), un file di log nel quale vengono elencati i file cifrati e una richiesta di riscatto nel file “HELLO.0MG” di questo tenore:

ID:255482
PC:SERVER08
USER:Administrator

=======

Hello there. I can decrypt your files.
Email me: [email protected]
In case you don’t get a reply, please email me here*:
[email protected], [email protected], [email protected]

* check your junk/spam folder first though 🙂

These files have been encrypted (please, keep this .log): C:\Windows\633591.log

Il file “633591.log” lasciato dal ransomware nella cartella di Windows contiene l’elenco dei file criptati ed è necessario per poter capire quali file decifrare nel momento in cui si trova una soluzione per recuperare i file.

A differenza dei criptovirus identificati ad aprile, questo ransomware non fornisce la possibilità di mettersi in contatto con il ricattatore tramite sistema di comunicazione sicuro e cifrato bitmessage. Il messaggio “HELLO.0MG” lasciato sul PC indica infatti di contattare il delinquente a uno dei seguenti indirizzi di posta elettronica per richiedere come recuperare i propri file cifrati:

Chi ha contattato gli indirizzi indicati ha ricevuto come risposta la richiesta allegare un file cifrato di dimensioni inferiori a 1MB e di poca importanza e il file con la chiave LOKMANN.KEY993, oltre a versare 5 bitcoin per poter recuperare i propri dati che sono stati cifrati dal ransomware.

Non sono al momento disponibili decryptor gratuiti per decifrare i file criptati. Il post verrà aggiornato quando e se saranno disponibili maggiori informazioni circa il ransomware Parish Lokmann.key993 e su come decifrare i file gratuitamente tramite decryptor senza pagare il riscatto in bitcoin.

Termini di ricerca frequenti

Lokmann Key993
Hello 0Mg
Mobef
Mobef Ransomware
Lokman Key993
Lokmann
Hello 0Mg Ransomware
Nuovo Ransomware Parisher Lokmann Key993 Variante Di Mobef
File Lokmann Key993
Lokmann Key993 Decryptor
Key 993 Mobef
Mail Bg
Nuovo Ransomware
Mobef Virus
Decifrare Mobef
Protonmail Com
Hello 993
Hello Lokmann

20 Responses to "Nuovo ransomware Parisher LOKMANN.KEY993 variante di Mobef"

Ezio ha detto:

26 Aprile 2018 alle 11:34

Salve a tutti,
Leggo i vostri messaggi e vedo molta gente disperata che (danneggiata da questi criminali) cerca una soluzione. Io personalmente sconsiglio di pagare poiché non si deve assolutamente alimentare il crimine, ma, cercare di proteggersi il piu possibile cercando di prevenire questi attacchi….

io mi Chiamo Ezio e sono un Sistemista presso un azienda commerciale con 90 dipendenti e oltre…. ovviamente capirete che un azienda con un flusso molto vasto deve avere la sicurezza al top in fatto di protezione da ramsonware. ma nonostante le misure adottate… Password complesse, Porta 3389 disabilitata e reindirizzata su altre… firewall ben configurati ecc.. sono stato attaccato…. un attacco che però non ha bloccato nulla, bensi mi ha fatto capire che il mio Lavoro è stato certosino e non è riuscito a diffondersi sui client e NAS (ben configurati).
posso dirvi solo che “se un vostro client è infettato” , allora riuscirà a entrrare sui vostri server…. Vi consiglio di non Condividere in rete locale tutte le cartelle di backup e inoltre una cosa molto utile è il TEMPO. cioé se un attakko avviene solitamente la notte verso le 4 – 6 … vuoldire che in quel periodo le Vostre cartelle di backup non devono essere condivise…..
ci sono molteplici soluzione per la protezione… “IL MIGLIOR ANTIVIRUS SIAMO NOI”.
di certo ho avuto il piacere di rispondere alla loro richiesta di riscatto con una FACCINA sorridente e “unaparolaccetta” per la serie riprova sarai piu fortunato.
la mia azienda non si è fermata nemmeno un ora poiché switchando su un server secondario “allineato come archivio ma non condiviso”…. in poche ore ho ripristinato il tutto.
Buona Giornata a Tutti!
[email protected]

Rispondi
maurizio ha detto:

14 Dicembre 2016 alle 22:48

Abbiamo subito un attacco alle 6 di questa mattina. Compromesso il server ed il backup sulla NAS.

Rispondi
Vanna ha detto:

12 Dicembre 2016 alle 12:49

Anche noi siamo stati attaccati sul Cloud di Aruba lasciato in funzione durante il w.e e la notte, non sappiamo cosa fare

Rispondi
1. Paolo Dal Checco ha detto:
  
  13 Dicembre 2016 alle 0:02
  
  Purtroppo al momento nessuno ha ancora scoperto come decifrare i file criptati da Parisher LOKMANN.KEY993, variante del ransomware Mobef. Se non esistono backup da cui recuperare i file cifrati dal ransomware LOKMAN non è possibile ripristinarli. Ai fini di ricerca può però essere utile se riesce a fornire dettagli sulla modalità con la quale i delinquenti che diffondono LOKMANN hanno avuto accesso al server, se tramite brute force su protocollo RDP e porta 3389 sulla quale era stata impostata una password troppo semplice, se tramite Teamviewer, etc… e se ha trovato il payload, cioè il file che i criminali scaricano sul desktop e lanciano per infettare il sistema.
  
  Rispondi
2. emilio ha detto:
  
  13 Dicembre 2016 alle 16:26
  
  Anche io purtroppo sono stato attaccato nella notte, bloccandomi anche il backup…. tutto il server crittografato….. non so piu cosa fare
  
  Rispondi
SpaceWalker ha detto:

15 Novembre 2016 alle 16:58

Anche noi siamo stati attaccati, hanno criptato tutto sia le cartelle condivise in rete che i PC, una volta entrati presumibilmente da una falla di sicurezza di Windows, nel mio caso 8.1, dell’RDP, sono entrati da una porta 3389 mappata diversamente, hanno creato un utente Administrator e da quell’utente sono partiti facendo uno scan delle cartelle e degli ip collegati e tramite un programma di desktop remoto (penso lo stesso con cui sono entrati sul PC principale) sono entrati sulle altre macchine criptando anche le cartelle locali. Hanno cancellato su tutte le macchine la copia shadow delle cartelle e disabilitato la funzione, i punti di ripristino e resi invalidi quelli esistenti, i file di registro di windows e sul NAS la cartella backup, quindi non abbiamo più niente…Ho provato a contattarli e mi hanno risposto che vogliono 5 bitcoins ma dopo quella e-mail alle mie varie richieste non hanno più risposto.

Rispondi
1. SpaceWalker ha detto:
  
  15 Novembre 2016 alle 17:04
  
  Mi dimenticavo di dirvi che ho una copia del programmino di desktop remoto che usano, si sono dimenticati di cancellarlo, può essere utile?
  
  Rispondi
  1. Paolo Dal Checco ha detto:
    
    17 Novembre 2016 alle 22:16
    
    Certamente, ogni tanto capita che i delinquenti dimentichino il payload del ransomware sul desktop, può inviarlo a [email protected] e le saremo grati per il contributo ai fini della ricerca su questo tipo di criptovirus che in Italia sta mietendo sempre più vittime.
    
    Rispondi
2. maurizio ha detto:
  
  14 Dicembre 2016 alle 22:43
  
  Anche il server della mia azienda é stato violato nel modo che tu hai ddscritto. Come hai risolto?
  
  Rispondi
Gianluca ha detto:

13 Novembre 2016 alle 21:37

Anche noi attaccati sulla porta 3389. Pagato riscatto ottenuta chiave. Un domanda: il cloud può essere attaccato da parisher?

Rispondi
1. Paolo Dal Checco ha detto:
  
  13 Novembre 2016 alle 23:56
  
  Per ora non risultano segnalazioni di ransomware che criptano i dati in cloud, o meglio, criptano le copie locali di cloud come Dropbox, Google Drive, etc… e i dati criptati si sincronizzano con la versione online, dalla quale però in genere è possibile ritornare alle versioni precedenti all’attacco.
  
  Dato però che questo tipo di cryptovirus è il risultato di un attacco sferrato da persone, non automatizzato, tramite remote desktop sulla porta 3389, non è escluso che i delinquenti riescano ad arrivare a loggarsi su eventuali cloud (si pensi ad esempio a Dropbox, che tramite l’iconcina in basso a destra permette di aprire una sessione autenticata sulla propria area utente) e cancellare perennemente la copia online dei dati.
  
  Rispondi
2. GiovanniB ha detto:
  
  14 Novembre 2016 alle 19:55
  
  quanto ci hanno messo a risponderti con la chiave a seguito del pagamento ? io ho tutti i pc piantati da questa mattina….danno inestimabile. mi hanno cercato e cancellato le NAS che contenevano i backup dei server. sono disperato.
  
  Rispondi
  1. Gianluca ha detto:
    
    20 Novembre 2016 alle 22:55
    
    Abbiamo mandato email e ci hanno risporto immediatamente. Poi prima di pagare abbiamo chiesto la prova di decriptazione, mandando un file semplice e il file lokman lasciato da loro alla fine di ogni cartella. Appena pagato abbiamo ricevuto subito la chiave di decriptazione.
    
    Rispondi
3. TOMMASO ha detto:
  
  27 Novembre 2016 alle 22:33
  
  Ciao Gianluca, sono in una situazione simile alla tua, quale indirizzo mail hai contattato? Come hai pagato i bitcoin? Sei riuscito a recuperare i file anche sulle macchine locali? Mi puoi rispondere anche sulla mia mail personale: tommo87 (AT) gmail.com , il mio cell è **********
  
  Ti ringrazio molto
  
  Rispondi
  1. Paolo Dal Checco ha detto:
    
    27 Novembre 2016 alle 22:57
    
    Pubblichiamo il commento anche se ci dissociamo dalla richiesta e sconsigliamo il pagamento del riscatto ai delinquenti che si celano dietro questi attacchi di ransomware, trattandosi di organizzazioni criminali che proliferano proprio grazie ai riscatti pagati dalle vittime. Abbiamo oscurato il numero di telefono per tutelare la Sua privacy, la mail sarà certamente sufficiente per essere contattati e avere le informazioni richieste.
    
    Rispondi
Simone ha detto:

8 Novembre 2016 alle 17:03

Qualcuno ha provato a pagare i bitcoin e a decriptare i file?

Rispondi
Luigi ha detto:

7 Novembre 2016 alle 10:58

Confermo l’attacco alle 4 della mattina , richiesta 5 bitcoins , le interlocuzioni via mail portano in indonesia sia per la lingua che per il fuso orario , ma chissà ? ha colpito “solo” il server e le copie.

Rispondi
1. Paolo Dal Checco ha detto:
  
  7 Novembre 2016 alle 15:33
  
  Grazie per la segnalazione, in queste settimane c’è una nuova pericolosissima ondata di ransomware Parisher LOKMANN.KEY993: i delinquenti colpiscono spesso di notte tramite brute force sulla porta 3389 di Remote Desktop, sapendo che a quell’ora è poco probabile essere notati. Nei numerosi casi segnalati hanno anche eliminato eventuali copie di sicurezza e backup su NAS o dischi esterni.
  
  Rispondi
Davide Ghiani ha detto:

21 Ottobre 2016 alle 10:04

sono stato attaccato anch’io,è possibile che l’attacco provenga dalla porta 3389 di desktop remoto.

Rispondi
1. Paolo Dal Checco ha detto:
  
  21 Ottobre 2016 alle 11:20
  
  Confermiamo, come abbiamo indicato nel nostro recente articolo di approfondimento sul ransomware Parisher/Mobef Lokmann.key993 abbiamo rilevato che sul PC di diverse vittime era attivo il Remote Desktop o Desktop Remoto sulla porta 3389 e sono stati fatti attacchi di brute force per trovare la password di accesso al sistema.
  
  Rispondi

Lascia un commento Annulla risposta

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.