Nuovo ransomware Parisher LOKMANN.KEY993 variante di Mobef

Ransomware Parisher Lokmann.key993Da qualche giorno arrivano segnalazioni di infezioni da parte di un nuovo ransomware che non ha ancora nome ma sembra essere una variante del cryptovirus Mobef e di sue varianti di cui abbiamo parlato ad aprile.

Il  trojan sembra colpire sistemi server e oltre a criptare i documenti presenti su dischi locali cifra anche i file raggiungibili tramite condivisioni di rete o NAS. Non è ancora chiaro quale sia il vettore ma non sembra essere legato a mail, allegati o pagine web, tanto che chi ha segnalato l’infezione dal ransomware Lokmann.key993 ha riportato di non aver eseguito alcuna attività sul sistema che possa aver causato l’avvio del payload o dell’exploit kit. Il ransomware sembra anche essere stato in grado di fare privilege escalation e agire come Administrator.

Una volta terminata l’infezione e cifrati numerosi documenti senza cambiarne l’estensione, il ransomware lascia sul PC un file dal nome “LOKMANN.KEY993” contenente 1024 caratteri esadecimali (presumibilmente una chiave da 512 byte), un file di log nel quale vengono elencati i file cifrati e una richiesta di riscatto nel file “HELLO.0MG” di questo tenore:

ID:255482
PC:SERVER08
USER:Administrator

=======

Hello there. I can decrypt your files.
Email me: parisher@protonmail.com
In case you don’t get a reply, please email me here*:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com

* check your junk/spam folder first though 🙂

These files have been encrypted (please, keep this .log): C:\Windows\633591.log

Il file “633591.log” lasciato dal ransomware nella cartella di Windows contiene l’elenco dei file criptati ed è necessario per poter capire quali file decifrare nel momento in cui si trova una soluzione per recuperare i file.

A differenza dei criptovirus identificati ad aprile, questo ransomware non fornisce la possibilità di mettersi in contatto con il ricattatore tramite sistema di comunicazione sicuro e cifrato bitmessage. Il messaggio “HELLO.0MG” lasciato sul PC indica infatti di contattare il delinquente a uno dei seguenti indirizzi di posta elettronica per richiedere come recuperare i propri file cifrati:

  • parisher@protonmail.com
  • parisher@inbox.lv
  • parisher@mail.bg
  • parisher@india.com

Chi ha contattato gli indirizzi indicati ha ricevuto come risposta la richiesta allegare un file cifrato di dimensioni inferiori a 1MB e di poca importanza e il file con la chiave LOKMANN.KEY993, oltre a versare 5 bitcoin per poter recuperare i propri dati che sono stati cifrati dal ransomware.

LOKMANN.KEY993

Non sono al momento disponibili decryptor gratuiti per decifrare i file criptati. Il post verrà aggiornato quando e se saranno disponibili maggiori informazioni circa il ransomware Parish Lokmann.key993 e su come decifrare i file gratuitamente tramite decryptor senza pagare il riscatto in bitcoin.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

This site uses Akismet to reduce spam. Learn how your comment data is processed.