Arriva il ransomware in python “Fsociety Locker” per i fan di Mr. Robot
Il ricercatore Michael Gillespie ha rilevato la presenza, nei mercati illegali sul dark web, di un nuovo tipo di ransomware, descritto poi in dettaglio dai tecnici Fortinet nel loro sito e da un post del blog BleepingComputer. Il cryptovirus è scritto in python e si fa chiamare “Fsociety Locker” (“Fsociety ALpha 1.0”) in onore della serie televisiva Mr. Robot dove “Fsociety” è il nome del gruppo di hacker protagonista delle vicende narrate.
Il criptovirus implementa diverse funzioni (anche se nelle versioni iniziali alcune non sono attive) come routine d’infezione di dischi di rete, tecniche anti virtualizzazione e il download di payload aggiuntivi personalizzabili che possono integrare le funzioni del ransomware.
Fsociety cifra numerosi tipi di file, inclusi i file già criptati dagli altri ransomware, così da rendere vano il pagamento di altri riscatti se prima non si è pagato quello da lui richiesto.
La cifratura avviene mediante algoritmo AES con chiave statica codificata nel codice, i file vengono sovrascritti con la loro versione criptata e viene aggiunta l’estensione “.fs0ciety”. Nelle versioni testate da Fortinet, la chiave AES era fissa, la speranza quindi è di riuscire a scoprire in breve tempo la password per utilizzarla per decifrare senza pagare il riscatto.
La pagina di richiesta di riscatto – nella versione testata da Fortinet – è incompleta e alcune vittime non sono in grado di visualizzarla, cosa che fa pensare a una fase di test prima della distribuzione su larga scala del malware.
Fortinet ha rilevato nel codice alcune funzioni implementate ma non utilizzate, come la possibilità di eseguire del codice arbitrario scaricato da dei link, utile ad esempio per far fare attività aggiuntive ai PC infetti oppure sistemi di rilevamento di ambienti virtualizzati che impediscono al cryptovirus di essere studiato in un ambiente virtuale perché questo non si avvia se lanciato su VM.
I sample analizzati da Fortinet hanno i seguenti valori hash:
- MD5: d8a84048067f2b73fc8bb994bc0abe71
- SHA256: 6369badfb87908562025fe09278b5648f33d42a737c76bacaa80e48183643ac6
Termini di ricerca frequenti
- Ransomware Blog
- Ransomware In Python
- Ransomware Python
- Python Ransomware
Lascia un commento