Zenis: il ransomware in grado di cancellare i file di backup
- MARTEDÌ 20 MARZO 2018
Che la galassia dei ransomware sia sempre in fermento non è una novità; tuttavia, stando a quanto più volte ripetuto dagli esperti di sicurezza informatica, il backup è il miglior modo di difendersi: avere a disposizione un backup dei file invalida il meccanismo ricattatorio del ransomware, garantendo il recupero dei file senza pagare il riscatto. Questo spiega perché ultimamente gli sviluppatori dei ransomware sono al lavoro proprio per limare questa "mancanza" e rendere i loro malware ancora più difficili da contrastare. Una prima prova di questa nuova direzione intrapresa dai cyber criminali arriva direttamente da Zenis, un ransomware già da tempo in circolazione, che adesso sembra aver implementato anche una nuova funzione capace di eliminare i file di backup. Il funzionamento di Zenis non è troppo diverso dai suoi simili, tuttavia questa nuova funzione lo rende ancora più pericoloso.
Come agisce Zenis
Non sappiamo ancora come si diffonda questo ransomware: alcuni utenti riferiscono di aver subito attacchi contro i servizi di Remote Desktop. Una volta eseguito, questa variante esegue due controlli: il primo è vedere se il viene eseguito il file iis_agent32.exe. Il secondo è verificare se esiste un valore di registro chiamato HKEY_CURRENT_USER\SOFTWARE\ZenisService "Active".
Se questo valore di registro esiste o il file non è nominato iis_agent32.exe, il processo di infezione viene arrestato e il ransomware non cripterà i file sul pc.
Al contrario, il ransomware compie il secondo passo: cerca e cancella le shadow volume copies, disabilita lo startup repari e pulisce il log degli eventi.
Quindi cercherà e terminerà i processi sotto indicati:
- sql
- taskmgr
- regedit
- backup
Quando un file viene criptato, subisce la modifica sia del nome che dell'estensione secondo la seguente formula Zenis-[2 caratteri random].[12 caratteri random].
Il nome originale del file e la chiave AES usata per la criptazione verranno criptati e salvati alla fine del file.
Qui arriviamo alla peculiarità di questo ransomware: durante il processo di infezione Zenis va alla ricerca anche dei file di backup collegati ai dati appena criptati. Nel caso di una loro individuazione provvederà ad effettuare una sovrascrittura ripetuta tre volte e alla successiva cancellazione, facendo sì che non possano più essere utilizzati nel tentativo di ripristinare i file.
Il riscatto
Come ogni buon ransomware che si rispetti, anche Zenis pretende il pagamento di un riscatto. Una volta terminata l'opera di criptazione, Zenis creerà la nota di riscatto rinominata Zenis-Instructions.html, all'interno della quale sono contenute le istruzioni per il pagamento del riscatto. La nota contiene le istruzioni per contattare l'attaccante. Attualmente gli indirizzi di contatto sono
- TheZenis@Tutanota.com,
- TheZenis@MailFence.com,
- TheZenis@Protonmail.com
- TheZenis@Mail2Tor.com.
La particolarità è che nella nota di riscatto si chiede che la vittima invii, all'attaccante stesso, la nota di riscatto e un file più piccolo di 2 MB. Il perchè l'attaccante richiede l'invio della nota di riscatto è presto detto: nella stessa è nascosta una stringa codificata in base64 che deve essere decriptata usando la chiave provata RSA, posseduta solo dallo sviluppatore del ransomware. Quando l'attaccante decripta questi dati, allora può decodificare il file inviato dalla vittima e approntare il decryptor.
Il ransomware pare avere molte vulnerabilità: chi dovesse subire questo attacco non paghi il riscatto: potrebbero esserci a breve importanti novità.
L'individuazione da parte di Quick Heal
L'individuazione da parte di Quick Heal
Oltre all'individuazione statica, la funzione di Individuazione Comportamentale e la funzione Anti Ransomware di Quick Heal individuano con successo questo ransomware.
1. Individuazione da parte della funzione Anti Ransomware
2. Individuazione da parte della funzione di Individuazione Comportamentale
