Famiglia ransomware BTCware: individuata una nuova versione, Payday.
E' stata individuata una nuova variante del ransomware BTCware. Dopo una settimana di calma piatta nel mondo dei ransomware, siamo oggi alla seconda nuova tipologia di ransomware individuata in pochi giorni (è di pochi giorni fa l'individuazione di Asasin, nuova versione della famiglia Locky).
La nuova variante si chiama Payday, dalla maniera in cui modifica l'estensione dei file criptati. Ricordiamo che chi dovesse trovare i file criptati con estensione .padyday non è stato colpito dal ransomware PayDay, ma da una versione del ransomware BTCware. Infatti la versione scoperta ieri presenta lo stesso identico impianto di BTCware, con alcune piccole differenze.
Ecco alcune differenze:
1. Secondo Michel Gillespie, creatore di ID-Ransomware, questa variante usa un nuovo metodo di generazione della chiave quando cripta i file: un meccanismo che per ora pare invalicabile: così non c'è, per adesso, un modo di decriptare i file.
2. E'cambiata la nota di riscatto: il ransomware ne lascia due diverse versioni, payday.hta e !! RETURN FILES !!.txt. La principale differenza nel testo delle note sono però le mail di contatto ovvero Checkzip@india.com e payday@cryptmaster.info.
Fonte: Bleepingcomputer |
In realtà nessuna delle due email pare attualmente funzionante: i ricercatori di bleepingcomputer.com fanno sapere che un utente, payday_lock, ha scritto sul thread di assistenza relativo a questo ransomware, una nuova mail di contatto: payday.cock.lu.
Fonte: BleepingComputer |
3. Il principale cambiamento è comunque l'estensione dei file criptati, .payday appunto. Quando questo ransomware cripta i file, ne modifica il nome secondo la sequenza
.[email]-id-id.payday.Sotto è possibile vedere un esempio di file criptati.