Visualizzazione post con etichetta Vindows. Mostra tutti i post
Visualizzazione post con etichetta Vindows. Mostra tutti i post

lunedì 5 dicembre 2016

Ransomware Vindows

Il ransomware Vindows è stato individuato per la prima volta dal ricercatore di sicurezza Jakub Kroustek di AVG. Il ransomware, realizzato in C#, agisce sui file aventi le seguenti estensioni:

txt, doc, docx, xls, xlsx, ppt, pptx, odt, jpg, png, csv, sql, mdb, sln, php, asp, aspx, html, xml, psd

Il ransomware, individuando tali file sul sistema, provvede a crittografarli utilizzando l'algoritmo AES e aggiungendo l'estensione .Vindows. Terminata questa operazione apparirà a video la seguente schermata (FIG 1) in cui in cui si invita l'utente a chiamare un servizio di supporto per sbloccare i file dopo il pagamento del riscatto di $349.


Vindows si spaccia per un supporto tecnico e chiede soldi per il recupero dei file
FIG 1 - Vindows si spaccia per un supporto tecnico e chiede soldi per il recupero dei file
Chiamando il numero indicato nel messaggio, risponde un'operatore di un call center (presumibilmente dislocato in India) che si spaccia per il servizio di assistenza Microsoft. L'operatore accede da remoto al computer della vittima, apre una pagina del supporto Microsoft per poi sostituirla con un indirizzo diverso ospitato da JotForm. In questo modo la vittima, credendo di trovarsi ancora sul sito Microsoft, compilerà il modulo mostrato a video con i propri dati personali.


Vindows, viene richiesto di compilare un form con i propri dati e la carta di credito
FIG 2 - Vindows, viene richiesto di compilare un form con i propri dati e la carta di credito


All'interno del codice del ransomware sono presenti 2 API Pastebin (api_dev_key e api_user_key) utilizzate per salvare su una pagina Pastebin il nome del computer infetto e la chiave AES con cui sono stati crittografati i file.



Come Decriptare i file


Malwarebytes e un esperto di sicurezza indipendente @TheWack0lian, hanno rilasciato tool per decriptare le varianti di questo nuovo ransomware. Per recuperare i file criptati dal ransomware Vindows è possibile utilizzare uno dei seguenti tool:

Il tool più semplice da utilizzare è VindowsUnlocker: una volta avviato basta cliccare sul pulsante Decrypt e attendere che termini il recupero dei file.


VindowsUnlocker (Vindows Locker Decrypter)
FIG 3 - VindowsUnlocker (Vindows Locker Decrypter)