FTCODE Ransomware: una nuova versione in diffusione in Italia

In passato abbiamo già avuto modo di parlare di FTCODE, un ransomware che prende di mira, esclusivamente l’Italia, soprattutto professionisti e aziende, tramite posta certificata PEC. Le vittime ricevono una email, con un’allegato infetto in formato .ZIP, che reca come oggetto false comunicazioni ufficiali da parte della Pubblica Amministrazione o di altri professionisti / aziende.

Segnaliamo inoltre che alcuni utenti vittime del ransomware hanno denunciato il mancato invio del tool di decriptazione da parte degli attaccanti ANCHE DOPO IL PAGAMENTO del riscatto: consigliamo quindi di NON PAGARE alcuna somma agli attaccanti, perché non c’è garanzia di ricevere il tool.

Lista delle estensioni per versione:
V.1 –> .Ftcode
V.2 –> 6 caratteri casuali (es. 3e6134)

Sono il download e l’apertura dell’allegato infetto che danno l’avvio alla criptazione dei file.

La nuova versione
Dopo la nuova e massiccia, campagna di email infette a fine ottobre, sembrava che potesse esserci la speranza per la risoluzione delle infezioni da questo ransomware, grazie ad un tool, all’epoca in fase di sviluppo, che sfruttava quello che sembrava un bug di FTCODE. Il bug riguardava la comunicazione della chiave privata di criptazione di ogni utente tra la macchina infetta e il server di comando e controllo del ransomware, che avveniva sia in forma criptata che in chiaro. Con il tool si sarebbero potute intercettare le comunicazioni tra il ransomware sulla macchina infetta e il server C&C e individuare la password necessaria a riportare in chiaro i file.

Questa speranza è però svanita. Una nuova variante di FTCODE ha risolto questo bug e reso impossibile l’individuazione in chiaro della chiave: questa infatti ora viene trasmessa in forma criptata al server C&C.

Nel dettaglio, questa variante evolutiva di FTCODE compie queste operazioni attraverso codice PowerShell:
Cifra la chiave prima di comunicarla al C&C
Genera un Vettore di inizializzazione casuale per AES256
Genera un salt per l’algoritmo PBKDF1

Cifratura della chiave.

Invio delle informazioni al server C&C.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy