La battaglia per arginare la pandemia ransomware è entrata ormai nel vivo. Sono passati soltanto pochi giorni da quando vi abbiamo parlato di JS.Danger.ScriptAttachment, ed è già stata rilevata dai laboratori di analisi euristica GData una nuova variante del Virus.
Il suo nome è Manamecrypt ma è conosciuto anche con l’alias di CryptoHost e rappresenta un’evoluzione del genere. I ransomware di cui vi abbiamo per altro parlato negli ultimi mesi si diffondono tutti utilizzando tecniche simili, di solito tramite allegati alle email o exploit-kit che sfruttano vulnerabilità dei software generalmente utilizzati per navigare su internet, Manamecrypt, invece, utilizza uno stratagemma alternativo: secondo quanto riportato dagli analisti GData il ransomware è stato diffuso in bundle con µTorrent. Il pacchetto contiene, oltre a una versione funzionante del client Torrent, ben due programmi indesiderati:
Il primo programma sviluppato da una società statunitense che al momento dell’installazione modifica le impostazioni del browser cambiando le impostazioni relative all’Home Page e al motore di ricerca predefinito. Il suo nome è OpenCandy.
Il secondo è Manamecrypt camuffato da “innocuo” client µTorrent legittimo, adeguatamente firmato e correttamente funzionante nominato “uTorrent.exeuTorrent.exe” invece del classico “utorrent.exe” che reca con sé la componente nociva “on top”.
Le caratteristiche in questione farebbero di Manamecrypt il primo ibrido Trojan-ransomware oltre al primo vettore informatico patogeno atipico.
Ma non è tutto Manamecrypt integra anche un sistema di autodifesa adottato solitamente dai trojan, cioè una funzione che blocca alcuni processi predefiniti; nella blacklist sono presenti sia vari antivirus e tool di manutenzione, che siti e applicazioni che non dovrebbero rappresentare una minaccia per il ransomware, come Twitter, YouTube e Vimeo, ma che sono stati inseriti per esasperare l’utente e indurlo a pagare il riscatto.
Dopo aver penetrato il sistema, disattivando le protezioni dei vari antivirus, Manamecrypt, non crittografa con chiave asimmetrica ma comprime in un file RAR con password di protezione, ponendo a schermo una finestra con le istruzioni di pagamento. Le vittime sono invitate a pagare un riscatto di 0,32277 mila Bitcoin (122 € circa), che può essere pagato solo in Bitcoin.
Come tutti i virus informatici creati dall’uomo fortunatamente, è tutt’altro che perfetto. L’analisi del codice ha permesso agli analisti di GData di trovare il metodo per sbloccare i file senza pagare il riscatto, semplicemente inserendo la password per la decodifica dell’archivio RAR. La password sarebbe composta, infatti, dal nome dell’archivio stesso e dal nome dell’utente Windows. Non proprio irresistibile. E questo spiegherebbe anche il perché di un riscatto così basso.
Ma la battaglia appena vinta non è bastata ai paladini della sicurezza informatica, gli autori di Teslacrypt (ne abbiamo parlato in passato come la madre del male), hanno deciso, per ragioni ancora sconosciute, di abbandonare le attività illecite relative allo sviluppo di ransomware e consegnare una chiave di decrittazione universale che permette di recuperare tutti i dati ancora imprigionati.
Già da qualche tempo era chiara una netta diminuzione drastica nella diffusione di Teslacrypt, declassato negli ultimi mesi da piaga del 2015 a semplice spauracchio occasionale di inizio 2016 legata a vecchi siti compromessi e mai riparati.
In questo clima d’incertezza, un ricercatore di ESET ha contattato gli autori del famoso malware fingendosi una vittima e chiedendo una chiave; il criminale, con sua grande sorpresa, gli ha consegnato una chiave universale che ha permesso di creare un tool gratuito e liberamente scaricabile in grado di recuperare tutti i dati ancora, eventualmente, ostaggio della codifica del ransomware.
Questo solo a qualche settimana da quando Kasperksy ha messo a disposizione un tool per recuperare i dati criptati da CryptXXX, l’ennesima variante di Teslacrypt.
E’ la fine di tutto? Ce lo dirà soltanto il tempo.
Per ulteriori approfondimenti QUI











