Il ransomware è stato analizzato in dettaglio da bleepingcomputer
Al momento il ransomware 7ev3n non è ancora molto diffuso ma è molto pericoloso: una volta infettato il sistema provvede ad eseguire una scansione di tutti i drive connessi, quindi procede a cifrare alcuni file rinominandoli in maniera sequenziale e attribuendo l'estensione R5A (ad es. 1.R5A, 2.R5A ecc).
Al momento le estensioni interessate dal ransomware sono:
.dbf, .arw, .txt, .doc, .docm, .docx, .zip, .rar, .xlsx, .xlsb, .xlsm, .pdf, .jpg, .jpe, .jpeg, .sql, .mdf, .accdb, .mdb, .odb, .odm, .odp, .ods
Terminata la crittografia dei dati viene visualizzato il messaggio di richiesta del riscatto.
FIG 1 - 7ev3n richiesta di riscatto (immagine di bleepingcomputer) |
Il ransomware crea diversi file all'interno della cartella %LocalAppData% tra cui:
- bcd.bat
All'interno di tale file sono presenti comandi BCDEDIT che disabilitano le opzioni di avvio avanzato e di recovery di Windows. - del.bat
Cancella l'installer del ransomware. - system.exe
Questo è l'eseguibile principale del ransomware che provvede alla crittografia dei file e alla visualizzazione del messaggio di riscatto . - time.e
Il file contiene il timestamp di quando è avvenuta l'infezione. - uac.exe
Questo eseguibile consente ai vari componenti del ransomware di essere eseguiti con privilegi di amministratore senza che venga visualizzato il messaggio UAC.
C:\Windows\System32\Tasks\uac
C:\Windows\System32\elsext.dll
Il contenuto del file bcd.bat è il seguente
bcdedit /set {current} bootems no
bcdedit /set {current} advancedoptions off
bcdedit /set {current} optionsedit off
bcdedit /set {current} bootstatuspolicy IgnoreAllFailures
bcdedit /set {current} recoveryenabled off
del %0
Il ransomware provvede anche a disabilitare, tramite chiavi di registro, le funzioni normalmente usate per riprendere il controllo di un sistema Windows, come la combinazione di tasti ALT+TAB, Task Manager, la finestra di dialogo Esegui e vengono disabilitati i tasti F1, F10, F3, F4, Invio, Esc, Alt, Ctrl,Windows, Shift, Bloc Num, Alt Gr, Tab. La chiave di registro modificata è:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"
altre chiavi di registro create dal ransomware sono
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62EC9C46-634C-4957-8A5C-4566462D0CE6}
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "C:\Users\[login_name]\AppData\Local\system.exe"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" /v "crypted"
- HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys "Flags" = 506
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "System"
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" "rgd_bcd_condition" = 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" "EnableLUA" = 0
Il task creato in C:\Windows\System32\Tasks\uac esegue le operazioni sopra indicate ad ogni login, assicurandosi che il ransomware prenda il controllo del sistema prima di ogni altra applicazione.
Rimuovere 7ev3n
Al momento non esiste un metodo per decriptare i dati ma seguendo alcuni passaggi è possibile rendere il sistema operativo nuovamente usabile.
Il metodo più semplice per ripristinare le funzionalità del sistema operativo prevede l'utilizzo del disco di ripristino con cui eseguire il boot del sistema. Quando richiesto selezionare il ripristino del sistema e quindi avviare il Prompt dei comandi.
FIG 2 - Opzioni di ripristino del sistema |
La prima operazione da fare, dal Prompt dei comandi, è quella di riabilitare le opzioni di avvio di Windows con i seguenti comandi
bcdedit /set {default} bootems yes
bcdedit /set {default} advancedoptions on
bcdedit /set {default} recoveryenabled on
bcdedit /set {default} bootstatuspolicy DisplayAllFailures
A questo punto possiamo procedere al riavvio del sistema in modalità provvisoria con prompt dei comandi e cancellare i seguenti file:
%LocalAppData%\bcd.bat
C:\Windows\System32\Tasks\uac
Per quanto riguarda il file %LocalAppData%\system.exe conviene procedere alla sua rinomina (magari modificando l'estensione in modo da evitare eventuali esecuzioni "accidentali") in quanto potrebbe essere necessario in futuro nel caso venga individuato un metodo per il recupero dei file criptati.
Gli altri file del ransomware creati in %LocalAppData% (del.bat, time.e, uac.exe) non rappresentano un pericolo ma volendo possono essere eliminati.
Infine non resta che rimuovere i seguenti valori presenti nel registro di sistema
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map"
Riavviare il sistema normalmente e procedere alla scansione con un antivirus e un antimalware aggiornati.