Zorro Ransomware: in distribuzione da 2 mesi e oggi, finalmente, sconfitto!

 

E' stata individuata qualche tempo fa una nuova variante di un ransomware tutt'altro che nuovo: parliamo di Zorro Ransomware, la nuova versione di quello che, in passato, è stato chiamato Aurora Ransomware. Aurora ha avuto, nei fatti, scarsi risultati ed è da considerarsi il prototipo del ben più pericoloso Zorro Ransomware: quest'ultima versione è in diffusione già dall'Estate del 2018, ma il vero picco di diffusione è stato toccato qualche giorno fa, il 25 Novembre. 
 
Al momento non è del tutto chiaro il metodo di diffusione di questo ransomware, ma molti utenti colpiti (e le analisi dei ricercatori stanno confermando questa versione) spiegano di aver subito l'attacco su computer che eseguono servizi di Desktop Remoto esposti in Internet. L'attacco pare quindi iniziare con un classico brute force delle credenziali degli account RDP, ottenute le quali gli attaccanti ottengono l'accesso alla macchina e quindi la possibilità di installare il ransomware. 
 
La buona notizia è che i ricercatori Michael Gillespie e Francesco Muroni hanno individuato una via
per decriptare il ransomware. La sezione forum del sito Bleepincomputer.com ospita una discussione (Aurora Help & Support topic) dove è possibile richiedere assistenza gratuita per la risoluzione dell'infezione.
 
Il riscatto in Bitcoin
Zorro Ransomware utilizza lo stesso indirizzo Bitcoin per tutte le vittime, elemento che rende piuttosto facile tracciare come vengono eseguiti i pagamenti. Dalla fine di Settembre ad oggi su questo conto risultano ben 105 transazioni, per un totale di 12.000 dollari (2,7 bitcoin) guadagnati dal cyber attaccanti. 
 
Fonte: bleepingcomputer.com
Come cripta i file
Una volta installato, questo ransomware si connette al server di Comando e Controllo per ricevere dati e la chiave di criptazione usata per la crittografia dei file delle vittime.
 
Fatto ciò, si connetterà all'indirizzo http://www.geoplugin.net/php.gp per individuare il paese di provenienza della vittima tramite il suo indirizzo IP. Nell'eseguibile è stata trovata la stringa "Russia", che fa pensare che le vittime provenienti da quel paese non subiscano la criptazione dei file. L'ultimo passaggio prima della criptazione è la scansione del computer in cerca di tutti i file con estensioni bersaglio: se il file scansionato combacia con uno dei tipi di file bersaglio che il ransomware ha codificati al suo interno, quel file viene criptato. 

Tra le estensioni bersaglio troviamo le comunissime .doc, .docx, .xsl, .xlsx, .ppt, .pptx, .msg, .txt, .csv, .rtf, .pdf, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .zip, .rar ecc.. ma anche estensioni tipiche dei sistemi operativi Linux, come .bz2, .bak, .tar, .targz ecc...
 
I file che subiscono la routine di criptazione non vedono modificato il nome file, che rimane uguale all'originale: viene semplicemente aggiunto, dopo l'estensione finale originale, l'estensione .aurora (dalla quale deriva il nome storico di questo ransomware). 
 
Fonte: bleepingcomputer.com

Varianti precedenti di questo ransomware hanno usato anche le estensioni .animus, .Aurora, .desu, .ONI ecc.. Oltre a ciò, il ransomware crea la nota di riscatto in ogni cartella contenente file criptati. La nota di riscatto presenta nomi diversi nella casistica fin ora analizzata: tra i nomi ricorrenti troviamo !-GET_MY_FILES-!.txt, #RECOVERY-PC#.txt e @_RESTORE-FILES_@.txt. 
 
Oltre alle istruzioni per il pagamento, la nota di riscatto contiene anche un indirizzo email (nella versione in distribuzione attualmente è oktropys@protonmail.com) che le vittime possono usare per contattare l'attaccante dopo il pagamento. 
 
La nota di riscatto in formato .txt

Infine Zorro Ransomware crea il file  %UserProfile%wall.i, un file jpg che viene impostato come sfondo del desktop, contenente indicazioni su dove trovare e come aprire le note di riscatto.
 
Il wallpaper del ransomware Zorro

Come proteggersi da questo ransomware...
Dato che, molto probabilmente, questo ransomware viene distribuito tramite attacco ai servizi di Desktop Remoto, è molto importante rendere sicure le porte RDP. Suggeriamo:
 
  • assicurati che non vi siano computer che eseguono i servizi di desktop remoto esposti direttamente ad Internet. Proteggi i computer "nascondendo" i servizi di desktop remoto dietro una connessione VPN, così i computer saranno accessibili solo da coloro che hanno un account VPN nella tua rete. 
  • verifica attentamente le policy di blocco degli account, così da rendere più difficile che gli account possano essere (brute) forzati tramite servizi RDP violati. 

Oltre a questi provvedimenti, ecco qualche consiglio flash...

  1. l'unica vera certezza di non perdere dati in seguito ad un attacco ransomware è recuperarne una copia integra da una location sicura. Quindi.. backup!backup!backup!;
  2. non aprire allegati contenuti in email strane, inaspettate e/o provenienti da mittenti sconosciuti;
  3. assicurati che tutti i software che usi (o almeno quelli più comuni, sopratutto Java, Flash, Adobe reader ecc..) e il sistema operativo stesso siano aggiornati all'ultima versione disponibile;
  4. installa sulla macchina (e sulla rete) un software antivirus, possibilmente dotato di una protezione multi-livello e di un modulo anti ransomware/di individuazione comportamentale.