White Rose : scoperto nuovo Ransmoware

E’ notizia dei primi di Aprile : ” Un nuovo ransomware è stato scoperto! “; basato sulla famiglia di ransomware InfiniteTear, di cui BlackRuby e Zenis sono membri.

Quando questo ransomware infetta un computer, andrà a crittografare i file, generando casualmente i nomi ed aggiungendo l’estensione .WHITEROSE .
Attualmente non è noto con certezza come verrà distribuito questo ransomware, ma i rapporti indicano che viene installato manualmente tramite l’hacking nei servizi di Desktop remoto. Inoltre, sulla base delle comunicazioni inviate a ID-Ransomware, lo sviluppatore di questo ransomware sembra rivolgersi ai paesi europei, con una forte attenzione alla Spagna.
La buona notizia è che questo ransomware sembra essere decifrabile

La nota di riscatto WhiteRose si legge come una poesia

Sia il BlackRuby Ransomware che ora WhiteRose hanno note di riscatto che sembrano più un compito da un corso di scrittura creativa piuttosto che una richiesta di riscatto.
Nella nota di WhiteRose, lo sviluppatore racconta la storia di un hacker isolato e solitario circondato da rose bianche in un giardino. Continua a dichiarando di voler condividere le sue rose bianche con il mondo crittografando il tuo computer e trasformandolo in un fiore. Il testo completo della richiesta di riscatto può essere trovato alla fine di questo articolo.

Come agisce WhiteRose:

All’avvio  WhiteRose controlla se esiste il file C: \ Perfect.sys; se esiste, uscirà dal programma, altrimenti creerà il file, che viene mostrato di seguito :

1

Dopodiché il ransomware eseguirà la scansione di tutte le unità sul computer e cercherà i file che corrispondono a determinate estensioni e quindi le crittograferà. Le estensioni di file prese di mira da WhiteRose sono:

2.JPG

Nel suo operare sui file da crittografare, non verranno crittografati quelli che si trovano nelle seguenti cartelle:

Windows
Program Files
$Recycle.Bin
Microsoft

Quando un file è crittografato, viene rinominato con un nome casuale con l’estensione _ENCRYPTED_BY.WHITEROSE aggiunta ad esso. Quindi test.jpg sarebbe stato criptato e rinominato in qualcosa come 6zyaqFcPJaeJATyA_ENCRYPTED_BY.WHITEROSE.

3

In ogni cartella scansionata, creerà una richiesta di riscatto denominata HOW-TO-RECOVERY-FILES.TXT che contiene un’immagine ASCII di una rosa, la storia “interessante” e poi le istruzioni su come pagare il riscatto.

4

5

Al termine, WhiteRose eseguirà i seguenti comandi per disabilitare Ripristino all’avvio di Windows, eliminare le copie del volume shadow e cancellare i registri eventi per poi cancellarsi definitivamente dal sistema.

cmd.exe /C vssadmin.exe delete shadows /all /Quiet
cmd.exe /C WMIC.exe shadowcopy delete
cmd.exe /C Bcdedit.exe /set {default} recoveryenabled no
cmd.exe /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /C wevtutil.exe cl Application
cmd.exe /C wevtutil.exe cl Security
cmd.exe /C wevtutil.exe cl System

Su White Rose ancora molto si potrà dire, sopratutto sulle operazioni di mitigazione (che parrebbero possibili) e sulla prevention.

Come al solito a disposizione per qualsiasi richiesta.

Ricordatevi i Backup!

D.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *