martedì 2 febbraio 2016

Ransomware 7ev3n

In circolazione è stato individuato un nuovo ransomware molto aggressivo, il suo nome è 7ev3n. Questo ransomware, oltre a cifrare i dati dell'utente e a richiedere un riscatto di 13 bitcoin (il riscatto più elevato fin'ora registrato), compromette anche il sistema operativo modificando le impostazioni di Windows e le modalità di avvio impedendo l'accesso al sistema in modalità provvisoria e inibendo le opzioni di ripristino.

Il ransomware è stato analizzato in dettaglio da bleepingcomputer 

Al momento il ransomware 7ev3n non è ancora molto diffuso ma è molto pericoloso: una volta infettato il sistema provvede ad eseguire una scansione di tutti i drive connessi, quindi procede a cifrare alcuni file rinominandoli in maniera sequenziale e attribuendo l'estensione R5A (ad es. 1.R5A, 2.R5A ecc). 

Al momento le estensioni interessate dal ransomware sono:
.dbf, .arw, .txt, .doc, .docm, .docx, .zip, .rar, .xlsx, .xlsb, .xlsm, .pdf, .jpg, .jpe, .jpeg, .sql, .mdf, .accdb, .mdb, .odb, .odm, .odp, .ods

Terminata la crittografia dei dati viene visualizzato il messaggio di richiesta del riscatto.

7ev3n richiesta di riscatto (immagine di bleepingcomputer)
FIG 1 - 7ev3n richiesta di riscatto (immagine di bleepingcomputer)

Il ransomware crea diversi file all'interno della cartella %LocalAppData% tra cui:
  • bcd.bat
    All'interno di tale file sono presenti comandi BCDEDIT che disabilitano le opzioni di avvio avanzato e di recovery di Windows.
  • del.bat
    Cancella l'installer del ransomware.
  • system.exe
    Questo è l'eseguibile principale del ransomware che provvede alla crittografia dei file e alla visualizzazione del messaggio di riscatto .
  • time.e
    Il file contiene il timestamp di quando è avvenuta l'infezione.
  • uac.exe
    Questo eseguibile consente ai vari componenti del ransomware di essere eseguiti con privilegi di amministratore senza che venga visualizzato il messaggio UAC.
Inoltre vengono creati i seguenti file:
C:\Windows\System32\Tasks\uac
C:\Windows\System32\elsext.dll

Il contenuto del file bcd.bat è il seguente
 bcdedit /set {current} bootems no 
 bcdedit /set {current} advancedoptions off 
 bcdedit /set {current} optionsedit off 
 bcdedit /set {current} bootstatuspolicy IgnoreAllFailures 
 bcdedit /set {current} recoveryenabled off
 del %0

Il ransomware provvede anche a disabilitare, tramite chiavi di registro, le funzioni normalmente usate per riprendere il controllo di un sistema Windows, come la combinazione di tasti ALT+TAB, Task Manager, la finestra di dialogo Esegui e vengono disabilitati i tasti  F1, F10, F3, F4, Invio, Esc, Alt, Ctrl,Windows, Shift, Bloc Num, Alt Gr, Tab.  La chiave di registro modificata è:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"

altre chiavi di registro create dal ransomware sono
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62EC9C46-634C-4957-8A5C-4566462D0CE6}
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "C:\Users\[login_name]\AppData\Local\system.exe"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" /v "crypted"
  • HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys "Flags"  = 506
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "System"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" "rgd_bcd_condition"  = 1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" "EnableLUA"  = 0

Il task creato in C:\Windows\System32\Tasks\uac  esegue le operazioni sopra indicate ad ogni login, assicurandosi che il ransomware prenda il controllo del sistema prima di ogni altra applicazione.


Rimuovere 7ev3n
Al momento non esiste un metodo per decriptare i dati ma seguendo alcuni passaggi è possibile rendere il sistema operativo nuovamente usabile. 

Il metodo più semplice per ripristinare le funzionalità del sistema operativo prevede l'utilizzo del disco di ripristino con cui eseguire il boot del sistema. Quando richiesto selezionare il ripristino del sistema e quindi avviare il Prompt dei comandi.

Opzioni di ripristino del sistema
FIG 2 - Opzioni di ripristino del sistema

La prima operazione da fare, dal Prompt dei comandi, è quella di riabilitare le opzioni di avvio di Windows con i seguenti comandi
bcdedit /set {default} bootems yes
bcdedit /set {default} advancedoptions on
bcdedit /set {default} recoveryenabled on
bcdedit /set {default} bootstatuspolicy DisplayAllFailures 

A questo punto possiamo procedere al riavvio del sistema in modalità provvisoria con prompt dei comandi e cancellare i seguenti file:
%LocalAppData%\bcd.bat
C:\Windows\System32\Tasks\uac

Per quanto riguarda il file %LocalAppData%\system.exe conviene procedere alla sua rinomina (magari modificando l'estensione in modo da evitare eventuali esecuzioni "accidentali") in quanto potrebbe essere necessario in futuro nel caso venga individuato un metodo per il recupero dei file criptati.
Gli altri file del ransomware creati in %LocalAppData% (del.bat, time.e, uac.exe) non rappresentano un pericolo ma volendo possono essere eliminati.

Infine non resta che rimuovere i seguenti valori presenti nel registro di sistema
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" 

Riavviare il sistema normalmente e procedere alla scansione con un antivirus e un antimalware aggiornati.

Nessun commento:

Posta un commento

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.