Visualizzazione post con etichetta jigsaw. Mostra tutti i post
Visualizzazione post con etichetta jigsaw. Mostra tutti i post

lunedì 18 aprile 2016

Ransomware Jigsaw, come decriptare i dati

Il ransomware Jigsaw prende il nome dall'immagine visualizzata all'interno del messaggio del riscatto ispirata al film SAW.
Il ransomware, oltre a crittografare i dati dell'utente, provvede ad eliminare definitivamente i file ad ogni ora o al riavvio del programma (ad ogni avvio vengono eliminati 1000 files) finché non verrà pagato il riscatto. Allo scadere della prima ora il ransomware cancella un file presente sul PC e incrementa un contatore. Ad ogni incremento del contatore aumentano i file cancellati nell'ora successiva.

Come è possibile immaginare questo modo di operare da parte del ransomware può essere molto distruttivo.


Dettagli sul funzionamento di Jigsaw


I file creati dal ransomware sono:
%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt


Una volta infettato il sistema della vittima il ransomware effettua una scansione dei drive connessi alla ricerca dei file con le seguenti estensioni:
.jpg, .jpeg, .raw, .tif, .gif, .png, .bmp , .3dm, .max, .accdb, .db, .dbf, .mdb, .pdb, .sql, .dwg, .dxf, .c, .cpp, .cs, .h, .php, .asp, .rb, .java, .jar, .class, .py, .js, .aaf, .aep, .aepx, .plb, .prel, .prproj, .aet, .ppj, .psd, .indd, .indl, .indt, .indb, .inx, .idml, .pmd, .xqx, .xqx, .ai, .eps, .ps, .svg, .swf, .fla, .as3, .as, .txt, .doc, .dot, .docx, .docm, .dotx, .dotm, .docb, .rtf, .wpd, .wps, .msg, .pdf, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, .xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .wav, .mp3, .aif, .iff, .m3u, .m4u, .mid, .mpa, .wma, .ra, .avi, .mov, .mp4, .3gp, .mpeg, .3g2, .asf, .asx, .flv, .mpg, .wmv, .vob, .m3u8, .dat, .csv, .efx, .sdf, .vcf, .xml, .ses, .Qbw, .QBB, .QBM, .QBI, .QBR  , .Cnt, .Des, .v30, .Qbo, .Ini, .Lgb, .Qwc, .Qbp, .Aif, .Qba, .Tlg, .Qbx, .Qby  , .1pa, .Qpd, .Txt, .Set, .Iif  , .Nd, .Rtp, .Tlg, .Wav, .Qsm, .Qss, .Qst, .Fx0, .Fx1, .Mx0, .FPx, .Fxr, .Fim, .ptb, .Ai, .Pfb, .Cgn, .Vsd, .Cdr, .Cmx, .Cpt, .Csl, .Cur, .Des, .Dsf, .Ds4, , .Drw, .Dwg.Eps, .Ps, .Prn, .Gif, .Pcd, .Pct, .Pcx, .Plt, .Rif, .Svg, .Swf, .Tga, .Tiff, .Psp, .Ttf, .Wpd, .Wpg, .Wi, .Raw, .Wmf, .Txt, .Cal, .Cpx, .Shw, .Clk, .Cdx, .Cdt, .Fpx, .Fmv, .Img, .Gem, .Xcf, .Pic, .Mac, .Met, .PP4, .Pp5, .Ppf, .Xls, .Xlsx, .Xlsm, .Ppt, .Nap, .Pat, .Ps, .Prn, .Sct, .Vsd, .wk3, .wk4, .XPM, .zip, .rar  

I file vengono cifrati con l'algoritmo AES e viene aggiunta, a seconda della versione del ransomware, una delle seguenti estensioni .FUN, .KKK,  .GWS, o .BTC
Il nome dei file cifrati viene memorizzato, in chiaro, all'interno del file %UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt mentre l'indirizzo bitcoin a cui pagare il riscatto viene memorizzato all'interno del file %UserProfile%\AppData\Roaming\System32Work\Address.txt

Terminata la cifratura dei file, Jigsaw provvede ad inserire le chiavi di registro per essere eseguito ad ogni avvio. La chiave di registro modificata è la seguente:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe  %UserProfile%\AppData\Roaming\Frfx\firefox.exe
come è possibile notare dall'eseguibile richiamato, il ransomware cerca di spacciarsi per il browser firefox.

Terminate queste operazioni il ransomware provvede a visualizzare il messaggio relativo al riscatto.


Jigsaw Ransomware
FIG 1 - Jigsaw Ransomware


Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! I have not deleted them, yet.
You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time.
After 72 hours all that are left will be deleted.
If you do not have bitcoins Google the website localbitcoins.
Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one.
Send to the Bitcoins address specified.
Within two minutes of receiving your payment your computer will receive the decryption key and return to normal.
Try anything funny and the computer has several safety measures to delete your files.
As soon as the payment is received the crypted files will be returned to normal.
       Thank you


Un'altra parte del messaggio spiega che i messaggi cancellati ogni ora aumenteranno in maniera esponenziale finché non verrà pagato il riscatto.

I want to play a game with you. Let me explain the rules:
All your files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files,
the second day a few hundred, the third day a few thousand, and so on.
If you turn off your computer or try to close me, when I start next time
you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
       Now, let's start and enjoy our little game together!  

  

Come decriptare i file


Prima di procedere a decriptare i dati è necessario rimuovere il ransomware dal sistema. Per farlo manualmente basta terminare da Gestione attività (Task Manager) i processi firefox.exe e drpbx.exe ed eliminare i file e le chiavi di registro create dal ransomware. 
Il ransomware può essere rimosso anche effettuando una scansione approfondita con un antivirus e un antimalware (come Malwarebytes) aggiornati.

Per decriptare i dati è possibile utilizzare JigSaw Decrypter 

Il tool è stato sviluppato da Demonslay335 grazie all'analisi effettuata di concerto con MalwareHunterTeam​ e Lawrence Abrams (BleepingComputer)

  • Una volta effettuato il download del file .ZIP, estrarre l'eseguibile al suo interno ed eseguirlo.

    JigSaw Decrypter
    FIG 2 - JigSaw Decrypter
  • Apparirà la finestra mostrata in FIG 2. Cliccare su Select Directory e selezionare la cartella contenete i dati cifrati. Nel caso in cui si intenda decriptare i dati di un intero disco basta selezionarlo nell'apposita finestra.
  • Cliccare su Decrypt My Files per avviare il recupero. Selezionando l'opzione Delete Encrypted Files? I file cifrati verranno eliminati una volta decriptati
  • Al termine verrà visualizzato il messaggio che ci informa del numero di file recuperati.