Abbiamo ricevuto richieste di aiuto per decriptare file colpiti da alcune varianti del ransomware Xorist. Tutte le infezioni segnalate recano diverse estensioni post criptazione, ma le analisi hanno portato alla luce come in realtà l'impianto e la routine di criptazione dei diversi campioni di malware siano identici e risalenti tutti allo stesso ceppo di malware: la "storica" famiglia di ransomware Xorist, individuata per la prima volta nel 2016.
Alcune varianti del malware stanno colpendo utenti italiani, ma non è chiaro, per il momento, il metodo di infezione. Fortunatamente i nostri tecnici, col supporto di Dr.Web, sono in grado di risolvere alcune varianti dell'infezione. Chi è stato colpito da questo ransomware può scriverci alla mail alessandro@nwkcloud.com inviandoci due file criptati e la nota di riscatto: procederemo ad analisi e composizione del tool di risoluzione (per maggiori informazioni sul nostro servizio di decriptazione ransomware visitare il sito web https://www.decryptolocker.it/).
A titolo esemplificativo riportiamo i dati di una variante inviataci da una recente vittima di questa infezione: l'estensione di criptazione è .PrOnis, mentre la nota di riscatto è un file rinominato "HOW TO DECRYPT FILES.txt", l'email di contatto pronis@cock.li.
Qualche informazione tecnica
Come detto, non è ancora chiaro come venga distribuito questo ransomware: le prime analisi mostrano forti similitudini con alcuni ransomware della famiglia Xorist. Quella di Xorist è una famiglia che conta centinaia di diverse estensioni di criptazione e versioni, poiché il malware può essere personalizzato tramite una builder dai potenziali distributori: questione non da poco, dato che rende estremamente difficile per le vittime capire con quale campione di ransomware si abbia a che fare.
La build infatti permette di scegliere l'estensione di criptazione, l'algoritmo di criptazione e perfino selezionare note di riscatto di default o personalizzabili. Gli algoritmi di criptazione più usati da questa famiglia sono TEA (Tiny Encryption Algorithm) e XOR.
I malware di questa famiglia non criptano tutti i tipi di file, ma una serie specifica di tipologie di file, tra i quali troviamo:
.3gp, .7z, .aes, .ahk, .au3, .avi, .bas, .bat, .blob, .bmp, .btc, .c, .c ++, .cc, .cmd, .cpp, .cs .csproj, .cxx, .db, .doc, .docx, .eml, .flac, .flv, .gif, .gzip, .hta, .htm, .html, .jpeg, .jpg, .js,. jscript, .key, .lnk, .manifest, .md, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .nfo, .part, .pdf, .pfx, .php, .php7, .png, .ppt, .pptx, .rar, .rsa, .swf, .tar, .torrent, .txt, .vb, .vba, .vbe, .vbproj, .vbs, .vcxproj, .wallet .wav, .wma, .wmv, .xls, .xlsx, .zip ecc..
Sono tutte estensioni di documento MS Office, di OpenOffice, PDF, file di testo, database, estensioni per immagini, video e audio ecc...
La nota di riscatto
E' denominata nella quasi totalità dei casi che abbiamo ricevuto come "HOW TO DECRYPT.txt" e vengono richiesti quantità variabili di Bitcoin. Nell'esempio sono richiesti 0.8 Bitcoin, ovvero 7160 euro. La nota di riscatto è un utile indicatore per riconoscere la famiglia di infezione: quasi tutte e segnalazioni inviate infatti utilizzano evidentemente la nota di default, modificando solo l'email di contatto, l'ammontare del riscatto e l'indirizzo Bitcoin.