<img height="1" width="1" style="display:none;" alt="" src="https://dc.ads.linkedin.com/collect/?pid=50912&amp;fmt=gif">

Ransomware Satana: un’evoluzione di Petya ancora acerba

[fa icon="calendar"] 28/07/16 11.52 / da Cristiano Pastorello

ransomware satana

Le prime apparizioni risalgono all’inizio di Luglio, ha presunte origini russe e unisce le migliori caratteristiche dei suoi predecessori Petya e Mischa.

Sembra essere ancora in uno stadio di sviluppo iniziale, possiede caratteristiche interessanti ma anche difetti e il codice sembra incompleto, cosa che lascia supporre l’arrivo di una nuova versione migliorata anche se per il momento non ci sono segnali di attacco su larga scala.

Il ransomware Satana esegue la strategia di Petya al contrario invertendo le due fasi, prima cripta i files usando le modalità di Mischa e poi attende silenziosamente il riavvio per sovrascrivere l’MBR, questo comportamento inverso impedisce l’unica possibilità di salvataggio dei files che invece con Petya era possibile.

Ci sono stati casi in cui è stato distribuito come aggiornamento di programmi P2P in altri utilizzando il modello di phishing relativo a domande di lavoro contenenti un link malevolo nel corpo della mail per il download del CV.

Anche nel caso di Satana il primo passaggio consiste nell’esecuzione di un dropper che ha il compito di scaricare il malware vero e proprio.

Al termine del download parte automaticamente l’installazione di Satana che come Petya non utilizza nessuna tecnica di bypass dello user account ma si “limita” a richiedere l’installazione del pacchetto finché l’utente non accetta preso da sfinimento.

A questo punto parte la routine di cifratura dei files prendendo di mira tutti questi formati: .bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, and .asm

Ogni file viene rinominato con il seguente modello mantenendo l’estensione originale [indirizzomail]_[nome_file_originale].[estensione_originale]

Generati randomicamente, al momento ne sono stati visti 6 esempi tra i quali:

In ogni cartella viene inserito il file !Satana!.txt con le istruzioni per pagare il riscatto.

Se siamo in questa condizione significa che l’antivirus non ha riconosciuto il malware e se non disponiamo dei backup aggiornati l’unica speranza che abbiamo è di accorgerci dell’esecuzione di questa routine vedendo la stranezza nei nomi dei file all’interno delle cartelle per poter spegnere prontamente il PC smontare il disco e copiare i dati non ancora cifrati.

Il fatto che l'estensione del file cifrato rimane quella originale in realtà non bello come può sembrare perchè rende inefficace implementare sui Windows server le funzionalità di screening dei files nelle cartelle, che impedisce la scrittura di file con estensioni non permesse a priori, perchè restando l'estensione quella originale il malware riesce comunque a scrivere cifrato.  

La cosa curiosa è che questo malware informa l’utente di tutte le operazioni che sta effettuando perché viene visualizzata una schermata di debug nella quale scorrono tutti i processi. Questo è il motivo per cui si ritiene che Satana sia ancora in fase sperimentale perché solitamente gli sviluppatori non vogliono lasciare informazioni sul codice di debug nei loro prodotti finali.

Al termine della procedura appare il classico pop-up informativo e il malware rimane in attesa del prossimo riavvio per procedere con la sostituzione dell’MBR in modo tale che non venga più caricato Windows ma solamente la schermata con le istruzioni per procedere al pagamento del riscatto.

Sono indicati tutte le informazioni necessarie, l’indirizzo mail a cui scrivere, il private code assegnato e il wallet sul quale versare 0,5 bitcoin (650€.) entro 7 giorni e con questo in 1-2 giorni ci invieranno la chiave da inserire per avviare la decifratura.

 

 Non esitare, verifica da vicino se sulla tua rete aziendale vengono utilizzate applicazioni a rischio, scaricate di siti Web non autorevoli o che dietro un'utilita in apparenza innoqua nascondo funzioni maligne come spyware o bot.

Come farlo?

Ecco un esempio, questo è il fac-simile del report generato da un'attività di Security Check Up, dal quale potrai avere tutte le informazioni utili per prendere le decisioni più corrette in tema di security.

Immagina di avere in mano i dati reali riguardanti la tua rete e quanto può essere interessante avere una consapevolezza così completa.

report-checkpoint

Categorie: Ransomware

Cristiano Pastorello

Scritto da Cristiano Pastorello

Information Security Manager & Privacy Officer presso ArchiMedia srl. Nonostante i miei studi partiti come geometra, la mia passione per il pc e per tutto quello che sta oltre a quell'involucro di plastica mi hanno trascinato completamente nel settore dell'informatica, tanto da diventare Information Security Manager di ArchiMedia. In questi anni ho seguito importanti progetti come quelli che riguardano la sicurezza informatica del Comune di Verona e di Italscania. In questo ultimo periodo ho deciso inoltre di specializzarmi sul campo del Data Protection ottenendo la Certificazione Federprivacy come Privacy Officer.