mercoledì 27 aprile 2016

Ransomware CryptXXX

CryptXXX è un nuovo ransomware che si sta diffondendo: le prime infezioni risalgono al 31 Marzo 2016. Questo nuovo ransomware è stato analizzato approfonditamente da Kafeine e dalla sua analisi si evincono molte cose interessanti. L'infezione avviene tramite Angler Exploit Kit (EK). Una volta infettato il sistema il ransomware non inizia subito la sua opera ma resta per un po' in attesa in modo da rendere difficile risalire subito alla fonte dell'infezione. Trascorso il tempo di delay inizia a crittografare i file aggiungendo l'estensione .crypt.
Il ransomware si maschera dietro un file .dll che viene creato all'interno di una cartella contenente caratteri alfanumerici in %USERPROFILE%\AppData\Local\Temp\.
ad es.
%USERPROFILE%\AppData\Local\Temp\{D3C31E62-539D-4056-BF01-BF7CB94E0254}\api-ms-win-system-softpub-l1-1-0.dll

Il nome del file .dll e quello della cartella che lo contiene variano.

Terminata la crittografia dei dati, come già visto per altri ransomware, CryptXXX genera 3 file (in formati diversi) contenenti le informazioni su come pagare il riscatto:
de_crypt_readme.bmp
de_crypt_readme.txt
de_crypt_readme.html

Il messaggio viene visualizzato a video e viene richiesto un riscatto di circa 500$ (che raddoppia nel caso in cui non venga pagato entro la scadenza visualizzata).


Recuperare i dati .crypt

Per decriptare i dati cifrati da CryptXXX è possibile utilizzare il tool RannohDecryptor messo a disposizione da Kaspersky e scaricabile da QUI .
Il tool consente di determinare la chiave per decriptare i dati a patto di disporre della versione cifrata e non cifrata dello stesso file.  Questo potrebbe rappresentare un problema ma ci sono alcuni file, come le immagini di esempio di Windows, che sono uguali su tutti i PC. In questo caso basta copiare il file non cifrato da un'altro PC.

Una volta scaricato e avviato il tool, cliccare sul pulsante Start scan e indicare il file cifrato. Il tool tenterà di estrarre la chiave dal file e, non riuscendoci, chiede all'utente di specificare la versione cifrata e non cifrata dello stesso file. Confrontando i 2 file il tool riuscirà ad estrarre la chiave e si potrà procedere a decriptare i restanti file.


Kaspersky RannohDecryptor
FIG 1 - Kaspersky RannohDecryptor

Aggiornamento 13.05.2016:

Da alcuni giorni circola una nuova versione del ransomware CryptXXX su cui il tool di Kaspersky è inefficace. Al momento non c'è la possibilità di decriptare i dati cifrati dalla nuova variante del ransomware.


Aggiornamento 13.05.2016 (2):

Proprio alcune ore fa Kaspersky (come segnalato e testato anche dall'utente Angelo nei commenti) ha rilasciato la nuova versione di RannoDecryptor che permette di decriptare i dati cifrati dalla nuova variante di CryptXXX. Il download può essere effettuato da http://support.kaspersky.com/viruses/utility


Aggiornamento 17.07.2016:

Ora è possibile decriptare i file che hanno estensione  .Crypz e .Cryp1. Nuovo articolo QUI

35 commenti:

  1. Ciao, cosa intendi per le immagini di windows? scusa l'ignoranza. Grazie.

    RispondiElimina
    Risposte
    1. Windows fornisce delle immagini "campione" visualizzabili generalmente nella cartella immagini dell'utente. Tali immagini, fornite dal sistema operativo, sono uguali per tutti i pc. I ransomware tendono a cifrare anche tali immagini. Quindi in questo caso basta procurarsi l'immagine originale da un'altro PC (o da un account su cui il ransomware non ha agito)

      Elimina
  2. Ciao Giovanni,
    anche io ieri, 10 maggio 2016, ho subito un attacco da parte di un virus che mi ha criptato tutti i miei documenti.
    Dopo ore di navigazione in internet ho trovato il tuo blog.
    Credo di essermi fatto una piccola cultura ma non ho risolto nulla!
    I files sono stati tutti ctiptati con estensione ".crypt" e mi ha piazzato uno sfondo sul desktop con uguale contenuto su tre files di estensione "Your personal ID.html", "Your personal ID.txt" e "Your personal ID.bmp".
    Dovrebbe essere un virus del tipo "TeslaCrypt 3.0".
    Ho usato per decriptare il progamma portatile "rannohdecryptor.exe", come specificato in questo post, ma non va oltre perchè c'è una differenza fra quelli criptati e con i disponibili corrispondenti originali di soli e sempre identici 260 byte.
    Grazie per la tua gentile cortesia.
    Angelo

    RispondiElimina
    Risposte
    1. Ciao!
      Se rannohDecryptor non riesce a decriptare i file allora o i 2 file passati non sono la stessa versione oppure non si tratta di CryptXXX. Come primo passo proverei a far analizzare uno dei file criptati dal sito web https://id-ransomware.malwarehunterteam.com/ . Il sito non riconosce tutti i ransomware ma almeno possiamo farci una prima idea. L'estensione .crypt viene utilizzata, purtroppo, da diversi ransomware. Un altro ransomware che mi viene in mente e che usa tale estensione è Gomasom (GOogle MAil ranSOM). Il tool per decriptare i file di Gomasom lo trovi qui http://emsi.at/DecryptGomasom . Anche in questo caso è necessario disporre della versione "originale" del file prima che fosse cifrato. Il funzionamento del tool è analogo a quello già visto per Nemucod (http://giovannilubrano.blogspot.it/2016/03/trojan-nemucod-e-ransomware-crypted.html)

      Elimina
    2. Ho Provato ieri su "https://id-ransomware.malwarehunterteam.com/" e non ho avuto risposta, riprovo ancora per ottenere informazioni più sicure sul tipo di criptazione e poi provo a decriptare.
      E' vero che se nella procedura di decriptazione si scegli un file saranno decriptati solo quelli di minore e uguale dimensione?

      Elimina
    3. Se dal sito web non viene identificato il ransomware, allora con ogni probabilità non si tratta di CryptXXX (questo tipo di ransomware è tra quelli riconosciuti dal sito). Per quanto riguarda la tua domanda la risposta è "NI" nel senso che se vengono passati file troppo piccoli i tool potrebbero non estrarre la chiave completa rendendo impossibile decriptare i file più grandi.

      Elimina
    4. Si sta diffondendo una nuova variante di CryptXXX. Sembra che la nuova ondata sia iniziata da qualche giorno e il tool di Kaspersky risulta inefficace su questa nuova versione. Al momento non c'è possibilità di decriptare i dati cifrati (si può tentare con shadowexplorer e con file di recupero file cancellati).

      Elimina
    5. Esatto Giovanni si tratta della variante con chiave di criptazione "RZA4096".
      Ho provato con Gomasom per due diverse coppie, la prima di 455 MB e la seconda di 102 KB, dopo la ricerca in Brute Force di 10 ore per coppia non ha trovato chiave di decriptazione.

      Elimina
    6. IMPORTANTE!

      Kaspersky ha rilasciato una nuova versione del RannohDecryptor per la chiave RZA4096.

      Posto il link: http://support.kaspersky.com/viruses/utility#rannohdecryptor

      Ho provato a trascinare sull'esecutibile un file criptato, e non richiede copia originale.

      In 10 minuti ha decriptato 20 files su 22.

      Elimina
    7. Grazie per la segnalazione. In effetti il tool è stato rilasciato proprio oggi. Mi fa piacere che sei riuscito a recuperare i dati

      Elimina
    8. RannohDecryptor è ancora in esecuzione e allo stato attuale dei files cripatati processati mi informa che ne ha decriptati il 96%.
      Aggiornerò con miei prossimi post l'esito del tutto!
      Credo sia importante fare catena per dare un picolo contributo e rendere vano anche se in minima parte l'attacco di questi criminali.

      Elimina
    9. Comunico la piena funzionalità di RannohDecryptor, riesce a recuperare bene i file .crypt.
      Non trova e quindi non recupera i files di piccola dimesione e tutti i files con estensione *.dwg e *.dxf.
      Nel mio caso avevo diverse copie di backup.

      Elimina
  3. per la versione 3.0 o successive c'è qualche soluzione ? ho dei .crypt che il tool non riesce a decryptare

    RispondiElimina
    Risposte
    1. Al momento c'è una soluzione parziale nel senso che è possibile recuperare parte del contenuto del file con il nuovo tool messo a disposizione da Trendmicro(http://esupport.trendmicro.com/solution/en-US/1114221.aspx)

      Elimina
  4. Giovanni ti scrivo perché ho usato ID Ransomware e mi dice che sono stato infettato da CryptXXX 3.0. Il problema e che i file sono rimasti con la stessa estensione, solo che quando li apro mi dice che sono stati danneggiati. C'è qualcosa che potrei fare ? Oppure devo solo aspettare?

    RispondiElimina
    Risposte
    1. Ciao, ti rispondo qui visto che nel tuo caso si tratta di una variante di CryptXXX 3.x (pertanto l'analoga richiesta che hai postato nell'articolo di TelsaCrypt verrà cancellata). Le ultime varianti di CryptXXX 3.x non modificano le estensioni dei file. I tool utilizzati fino a questo momento risultano inefficaci contro queste varianti. I tentativi da fare per tentare di recuperare i dati in altri modi sono i soliti: shadowexplorer e programmi di recupero dati cancellati. Purtroppo il fatto che questi ransomware si evolvono e migliorano continuamente comporta che questi tentativi molto raramente terminano con successo. Non resta che aspettare e sperare. Nel caso venga trovata una soluzione proverò ad aggiornarti.

      Elimina
    2. Giovanni sei stato gentilissimo a rispondermi, comunque domani farò una prova con il tool di Kaspersky, se dovesse succedere qualcosa ti faccio sapere. Ho provato con shadowexplorer il problema è che avendo windows xp non funziona bene, o meglio quando lo apro non identifica nulla. Potrei provare a vedere con programmi di recupero dati cancellati che non ho provato. Ti aggiorno se riesco a trovare qualcosa.

      Elimina
    3. Ciao, puoi inviarmi 2 file cifrati che intendi recuperare? Voglio fare un tentativo a decriptarli. se vuoi puoi condividerli su una piattaforma a tua scelta oppure su https://www.sendspace.com/ e mi dai il link. Inoltre mi serve l'indirizzo e l'ID che ti sono stati mostrati nel messaggio per il pagamento del riscatto

      Elimina
    4. Eccomi Giovanni ti ho fatto un archivio rar con all'interno due documenti pdf, e i tre documenti che mi parlano del riscatto. Il link è il seguente: https://www.sendspace.com/file/jc4ee6
      Comunque con Recuva sembra che qualcosa trovi nel sistema, spero di riuscire a recuperare la maggior parte dei documenti, potrebbe essere già un inizio.
      Grazie dell'aiuto che mi stai dando, te ne sono infinitamente grato.

      Elimina
    5. Comunque per il momento con Recuva, sono riuscito a recuperare qualcosa. Ti prego di tenermi informato così se esce la soluzione decripto tutto l'Hard Disk. Grazie.

      Elimina
    6. Ciao, ho dato uno sguardo ai file che mi hai inviato. Al momento non è possibile decriptarli. Ti terrò comunque aggiornato nel caso ci siano nuovi sviluppi.

      Elimina
    7. Ti ringrazio moltissimo. Aspetto tuoi aggiornamenti, comunque per il momento sembra che qualcosa con Recuva sono riuscito a recuperare. Grazie davvero.

      Elimina
    8. Ciao Giovanni, vorrei chiederti se ci sono novità a riguardo, grazie mille per tutto il lavoro che fai!

      Elimina
    9. Ciao, purtroppo ancora nessuna novità. Appena ci sono novità per recuperare i tuoi file ti avviso.

      Elimina
    10. Perfetto, attenderò con ansia sperando che vada tutto a buon fine. Grazie.

      Elimina
  5. Ciao Giovanni, ti faccio i miei migliori auguri per l'anno nuovo. Volevo chiederti se ci sono novità riguardo la decriptazione dei dati che ti inviai. Grazie mille per un'eventuale risposta.

    RispondiElimina
    Risposte
    1. Ciao Nico, ricambio gli auguri. Purtroppo nessuna novità. Kaspersky ha aggiornato il tool RannohDecryptor che consente di decriptare CryptXXX v1, 2 e 3 ma solo con le estensioni crypt, .cryp1 e .crypz

      Elimina
    2. Esiste ancora qualche speranza per decriptare quei dati che ho? Hai ancora i miei file? Magari potrebbe non trattarsi di questo tipo di Ransomware. Grazie mille per il supporto.

      Elimina
    3. Ciao, scusa il ritardo nella risposta. Nessuno può dirti se ci sia la speranza di recuperare i tuoi dati o quanto tempo bisogna aspettare. I tuoi file li ho ancora salvati da qualche parte e purtroppo si tratta di una variante del ransomware CryptXXX che non è possibile ancora decriptare.

      Elimina
    4. Ma figurati del ritardo, lavori ed è giusto che sia così. Mi tengo i dati ancora salvati, sperando nella decriptazione. Maledetti Ransomware. Grazie sempre per il supporto, magari ti scriverò sempre qui per tenermi costantemente aggiornato. Grazie ancora.

      Elimina
    5. Salve Giovanni,
      Volevo chiederti se ci sono novità e se disponi ancora dei miei file per fare qualche prova.
      Grazie per la cortese attenzione,
      Cordiali saluti.

      Elimina
    6. Ciao, non ci sono grosse novità. I tuoi file li ho sicuramente salvati in un hd esterno che al momento non ho con me. Se me li puoi reinviare mi faresti un favore e mi risparmi tempo.

      Elimina
    7. Salve Giovanni, ti ho fatto un archivio Rar con due file criptati e i tre file readme, grazie mille per il tuo tempo, sei gentilissimo. Li ho caricati su OneDrive.
      Allegato: https://1drv.ms/u/s!AmKcAq4c4QIkhSZggA4SbsH84tWP

      Elimina
    8. Ciao, grazie per avermi reinviato i file. Purtroppo non è possibile decriptare i file che mi hai mandato. L'unica possibilità sarebbe provare con il tool di Kaspersky rannodecryptor ma è necessaria la copia non cifrata di almeno un file. Se non hai la versione cifrata e non cifrata di uno stesso file puoi provare con i file di Windows: ad es. nella cartella immagini di Windows 7 sono presenti immagini campione che sono uguali per tutte le postazioni che hanno questo sistema operativo pertanto il file non cifrato può essere recuperato da un'altra macchina.
      Se non hai la possibilità di procurarti la versione non cifrata di un file ti chiedo se mi puoi inviare altri 2 file di dimensione superiore (comunque inferiore ai 2MB)

      Elimina
    9. Ero riuscito a recuperare dei file tempo fa, li diedi a mio fratello, ma adesso non riesce a trovarli nemmeno lui. Purtroppo non riesco a trovare nemmeno un file non cifrato anche perché ho conservato solo le cose importanti. In ogni caso provo a tentare di decriptare i file tramite il tool di kaspersky (Cercando qualche file non cifrato, se trovo qualcosa ti riscrivo immediatamente). Ti allego altri file https://drive.google.com/open?id=0B6QsMvp2RYavNDJuWEotZktYMVk

      Elimina

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.