Annuncio del 17. aprile 2018

Crypt888: chi dorme non piglia “iscritti”

Utilizzare un ransomware per aumentare il numero di iscritti al proprio canale Youtube è una novità. Peccato che il ransomware stesso sia un capolavoro di pigrizia.

L’obiettivo della maggior parte dei ransomware attualmente in circolazione è di fare molti soldi in poco tempo. Una recente analisi dei ricercatori G DATA mette in luce un altro potenziale motivo per la distribuzione di ransomware.

Esaminando i ransomware più datati ci si rende immediatamente conto dell’enorme investimento in sviluppo e controllo qualità confluitovi. Spesso estremamente elaborati, questi campioni di malware rendono deliberatamente difficile la vita di un analista, che viene condotto su false piste o da un punto morto all’altro.

Nel caso di Crypt888 invece non si può nemmeno parlare di un ransomware nel senso classico del termine, dato che non richiede alcun riscatto per decriptare i dati.

Cercasi iscritti, disperatamente

Non solo i profili di rilievo su YouTube cercano di accrescere in modo continuativo il numero di iscritti al proprio canale. Ma utilizzare un ransomware per raggiungere questo obiettivo è un’idea davvero fuori dal comune.

Qualcuno si è avvalso del network di scripting AutoIT per creare un ransomware che sembrerebbe avere questo obiettivo. Apparentemente, in caso di infezione all’utente si intima di iscriversi ad un determinato canale YouTube. È addirittura necessario inviare uno screenshot via mail a conferma dell’avvenuta iscrizione.

Semplicemente pessimo

Quando il ransomware istruisce le proprie vittime in merito alla metodologia di pagamento, le informazioni sono sempre formulate in maniera estremamente chiara e facilmente comprensibile, ciò non avviene con Crypt888. Innanzi tutto, l’avviso di infezione da ransomware con le istruzioni per il “pagamento” viene impostato come immagine sfondo del computer della vittima, ma risulta pressoché illeggibile in quanto non centrato sullo schermo. Solo aprendo il file impostato dal ransomware come sfondo si è in grado di leggere il messaggio per poi riscontrare che le informazioni non sono affatto comprensibili. Peraltro, in questa fase il ransomware controlla il traffico generato su chrome.exe, firefox.exe, iexplore.exe, opera.exe, tor.exe o skype.exe per evitare che la vittima utilizzi i mezzi di comunicazione più popolari per cercare aiuto online, l’unica cosa che si può fare è ricercare esclusivamente i termini utilizzati nel messaggio, per capirne di più. I risultati della ricerca portano l’utente sul canale di YouTube a cui l’utente deve abbonarsi.

Anche la cifratura dei file risulta quasi arraffazzonata e decisamente scadente. Il ransomware crea un elenco di tutti i file presenti sul desktop, li codifica utilizzando la chiave “888” e aggiunge il prefisso “Lock” al nome originale del file. Per decriptare i file basta ripercorrere al contrario i passaggi sopra riportati con uno strumento di decriptazione. Limitiamoci a dire che i ransomware di successo funzionano diversamente…

Secondo il nostro analista, lo sviluppatore in questione non avrà impiegato più di un paio d’ore per assemblare il suo ransomware. È possibile che in futuro vengano sviluppate delle varianti migliori di Crypt888, ma non c’è da preoccuparsi. Finchè decriptare i file sarà così semplice, questo ransomware “acchiappa iscritti” non sarà mai veramente efficace.

Ulteriori informazioni

Qualora si volesse approfondire l’argomento, l’intera analisi condotta dagli analisti G DATA è reperibile al link: https://file.gdatasoftware.com/web/en/documents/whitepaper/G_DATA_Analysis_Crypt888.pdf 

Annuncio del 17. aprile 2018

Contact

G DATA Software Italia Srl
Via Persicetana Vecchia, 26
I-40132 Bologna

Telefono: 051 64 15 813
E-Mail: press@remove-this.gdata.it