Ranscam, il finto ransomware che cancella tutti i file

Ranscam, il finto ransomware che cancella tutti i file

Si comporta quasi come un ransomware: chiede un riscatto per sbloccare file criptati, che però sono stati cancellati. E' la nuova minaccia scoperta dai ricercatori di sicurezza Cisco

di pubblicata il , alle 16:25 nel canale Sicurezza
 

Miniera d'oro per i criminali informatici, terrore di ospedali, aziende e utenti privati: sono i crypto-ransomware, il flagello digitale che, criptando i files presenti sul disco e chiedendo un riscatto in cambio della chiave di cifratura, ha mietuto moltissime vittime nei mesi passati.

I ricercatori del Talos Security Intelligence and Research Group di Cisco hanno ora individuato Ranscam, una nuova minaccia che pur comportandosi in alcuni tratti in maniera molto simile ad un ransomware tradizionale, in realtà non può essere propriamente inserito in questa categoria.

Ranscam chiede infatti anch'esso un riscatto perché la vittima possa riappropiarsi dei file crittografati, che però sono stati semplicemente cancellati. Una volta che Ranscam viene eseguito, appare un messaggio pop-up che assomiglia a quello di qualsiasi altro ransomware. Quel che accade, però, è un reboot forzato del sistema e la cancellazione di tutti i file, senza che alcunché venga crittografato.

I ricercatori Talos hanno individuato la minaccia sui sistemi di un piccolo numero di clienti. In tutte le circostanze, il malware ha mostrato lo stesso messaggio, come pure lo stesso indirizzo di wallet Bitcoin. Alla vittima viene intimato: "Devi pagare 0.2 Bitcoin (attualmente circa 120 Euro) per sbloccare il tuo computer. I tuoi file sono stati spostati in una partizione nascosta e criptati. I programmi fondamentali nel tuo computer sono stati bloccati e il tuo computer non opererà correttamente. Una volta ricevuto il pagamento in Bitcoin il tuo computer e i file saranno riportati istantaneamente alla normalità".

Il messaggio è un file immagine che viene ricevuto tramite una richiesta HTTP non protetta, non criptata e non occultata ad un server ospitato da Vitalix presso Studio City, in California. Se si clicca sul pulsante dopo aver eseguito il pagamento, viene mostrata un'altra schermata che afferma che il pagamento non è stato verificato e un "file ostaggio" è stato cancellato. In realtà tutto ciò è assolutamente fuorviante poiché non vi sono partizioni nascoste e i file vengono eliminati tutti da un batch script lanciato da un eseguibile Windows .NET, firmato usando un certificato registrato ad un dominio (reca.net) che è di proprietà della società italiana Cavagna Group. Lo script usa PowerShell per cancellare file da directory specifiche.

Fino ad ora sono comunque stati riportati solamente pochi casi di infezione e non è ancora stato individuato il mezzo di contagio anche se questo genere di minacce si diffonde di norma mediante tecniche di phishing. In realtà non è molto chiaro nemmeno lo scopo degli autori del malware, dal momento che il modello ideato è abbastanza problematico: se non vengono restituiti i file alle vittime, queste difficilmente pagheranno il riscatto.

I ricercatori hanno provato a contattare gli autori del malware, tramite il modulo presente nella schermata di pagamento, i quali hanno fornito istruzioni di pagamento e consigli su come acquistare Bitcoin. Dal momento che l'indirizzo del wallet Bitcoin a cui effettuare il versamento è sempre lo stesso, i ricercatori sono riusciti a determinare che dal 29 giugno non vi sono state transazioni verso il wallet e che, pertanto, Ranscam non ha ancora mietuto reali vittime, considerando che il certificato usato per firmare l'eseguibile risale al 6 luglio 2016. Si tratta evidentemente di un tentativo, piuttosto rudimentale e amatoriale, di sfruttare le paure legate alla minaccia ransomware per raccogliere qualche spicciolo, con tuttavia l'aggravante di compromettere in maniera irreparabile i dati della vittima.

26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
demon7713 Luglio 2016, 16:48 #1
mmm.. quindi tecnicamente dovrebbe essere facile recuperare i dati del malcapitato se semplicemente sono stati cancellati..
Dumah Brazorf13 Luglio 2016, 16:51 #2
In realtà non è molto chiaro nemmeno lo scopo degli autori del malware, dal momento che il modello ideato è abbastanza problematico: se non vengono restituiti i file alle vittime, queste difficilmente pagheranno il riscatto


Mica lo sanno le vittime che anche pagando non rivedranno un accidente.
Mith8913 Luglio 2016, 17:01 #3
Originariamente inviato da: Dumah Brazorf
Mica lo sanno le vittime che anche pagando non rivedranno un accidente.


esatto, probabilmente un virus del genere è più facile da scrivere, l'avranno fatto per raggranellare qualche soldo facile
fano13 Luglio 2016, 19:27 #4
Ma perché quelli veri una volta che paghi te la danno davvero la chiave di decrittazione?
Beh allora sti hacker sono di parola non lo credevo mica
OttoVon13 Luglio 2016, 19:34 #5
@fano: Sono dei sequestratori, il loro scopo è fare soldi.
Se non dessero la chiave una volta eseguito il pagamento, nessuno pagherebbe.

Questi non solo rendono il pc inutilizzabile, chiedendo il riscatto, ma cancellano anche i file.

Appesi a testa in giù devono finire, quelli "onesti" possono marcire in prigione.
Opteranium13 Luglio 2016, 19:36 #6
Originariamente inviato da: demon77
mmm.. quindi tecnicamente dovrebbe essere facile recuperare i dati del malcapitato se semplicemente sono stati cancellati..

Eh, però dubito che si limiti a buttare i file nel cestino, ci sta che faccia qualcosa di più radicale. Magari li cripta e poi li cancella, boh. Altrimenti sarebbe una passeggiata
demon7713 Luglio 2016, 19:57 #7
Originariamente inviato da: Opteranium
Eh, però dubito che si limiti a buttare i file nel cestino, ci sta che faccia qualcosa di più radicale. Magari li cripta e poi li cancella, boh. Altrimenti sarebbe una passeggiata


No niente cestino chiaramente.
Ma da quel che ho letto li cancella e stop.. oltretutto nemmeno con svrascrittura dei settori.
Quindi, sapendolo ovviamente, si dovrebbero recuperare facilmente collegando il disco ad un altro sistema ed usando un software di recupero dati.
extremelover13 Luglio 2016, 20:00 #8
Ho un amico che ha recuperato i dati crittati da alcuni ransomware semplicemente con i tool di recupero files cancellati. Pare che la crittografia non avvenga in-place. Il file crittato è nuovo ed il vecchio cancellato. Io non mi sono imbattuto nella cosa ma potrebbe aver ragione.
Ovviamente su SSD con trim in hardware non sarebbe praticabile.
Opteranium13 Luglio 2016, 20:00 #9
Originariamente inviato da: demon77
No niente cestino chiaramente.
Ma da quel che ho letto li cancella e stop.. oltretutto nemmeno con svrascrittura dei settori.
Quindi, sapendolo ovviamente, si dovrebbero recuperare facilmente collegando il disco ad un altro sistema ed usando un software di recupero dati.

messa in questi termini è tutta un'altra musica
demon7713 Luglio 2016, 20:33 #10
Originariamente inviato da: extremelover
Ho un amico che ha recuperato i dati crittati da alcuni ransomware semplicemente con i tool di recupero files cancellati. Pare che la crittografia non avvenga in-place. Il file crittato è nuovo ed il vecchio cancellato. Io non mi sono imbattuto nella cosa ma potrebbe aver ragione.
Ovviamente su SSD con trim in hardware non sarebbe praticabile.


Questo era il modus operandi dei primi crypto ransomware..
Poi si sono fatti piu furbi. Mentre criptano sovrascrivono man mano ..

Il backup periodico su unità esterna resta sempre la cosa migliore chiaramente

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^