• Chi siamo
  • Ransomware
  • Backup remoto
  • Contatti
  • Ultime Notizie
Sei in: OpenFile → Erebus il nuovo ransomware con il by-pass UAC

Erebus il nuovo ransomware con il by-pass UAC

Inserito da Fabio Angelucci

[20/01/2017] Un nuovo Ransomware chiamato Erebus è stato scoperto dal team di MalwareHunter. Le novità importanti introdotte da questo tipo di Ransomware sono fondamentalmente due, la prima è la bassa somma di denaro richiesta da parte del virus (Circa 90$), la seconda (forse anche la più importante) l'uso di un by-pass UAC implementato all'interno del cryptovirus che permette di eseguire i file di cui necessita il ransomware senza visualizzare nessuna richiesta di UAC.

Un nuovo Ransomware chiamato Erebus è stato scoperto dal team di MalwareHunter.

Le novità importanti introdotte da questo tipo di Ransomware sono fondamentalmente due, la prima è la bassa somma di denaro richiesta da parte del virus (Circa 90$), la seconda (forse anche la più importante) l'uso di un by-pass UAC implementato all'interno del cryptovirus che permette di eseguire i file di cui necessita il ransomware senza visualizzare nessuna richiesta di UAC.

Potrete trovare maggiori informazioni sul by-pass cliccando questo link.

Una volta che Erebus riuscirà ad annidarsi all'interno del computer, inizierà una scansione completa di tutto l'archivio, dove cercherà di individuare tutti i file che presentano le seguenti estensioni :

“.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx”

Una volta individuati tutti i file, Erebus inizierà il processo di criptazione utilizzando una chiave ROT-23 durante la cifratura.

Un file chiamato Nomefile.jpeg diventerà automaticamente Nomefile.msj

Durante il processo di criptazione, Erebus cancellerà anche tutte le Shadow Copies impedendo alla vittima di recuperare tutte le “copie fantasma” che rimangono annidate all'interno del computer.

Il comando utilizzato da Erebus per eliminare queste ultime è il seguente :

cmd.exe
/C vssadmin delete shadows /all /quiet && exit

Una volta terminata la fase di criptazione dei file, il virus anniderà all'interno del vostro computer un file chiamato readme.html, dove, oltre alla richiesta di riscatto e al vostro ID univoco, visualizzerete l'elenco di tutti i vostri file criptati.

 

 

 

 

Naturalmente, anche questa volta il riscatto viene chiesto sotto forma di Bitcoin: in questo modo, il criminale è cosciente del fatto che, in caso di mancata ricezione del programma per recuperare i vostri file, non potrà essere richiesto un rimborso.

Per finire, Erebus lancerà anche un messaggio all'interno del vostro S.O dove avvertirà che tutti i file sono stati criptati.

 

 

 

Questi sono alcuni file riconducibili al Ransomware Erebus :

%UserProfile%\AppData\Local\Temp\tor\
%UserProfile%\AppData\Local\Temp\tor\Data\
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent_extra-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libgcc_s_sjlj-1.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libssp-0.dll
%UserProfile%\Desktop\test\xor-test.pdf
%UserProfile%\Desktop\README.html
%UserProfile%\Documents\README.html
%UserProfile%\[random].exe
%UserProfile%\AppData\Local\Temp\tor\Tor\ssleay32.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\tor-gencert.exe
%UserProfile%\AppData\Local\Temp\tor.zip
%UserProfile%\AppData\Roaming\tor\
%UserProfile%\AppData\Roaming\tor\cached-certs
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip6
%UserProfile%\AppData\Roaming\tor\cached-microdesc-consensus
%UserProfile%\AppData\Roaming\tor\cached-microdescs.new
%UserProfile%\AppData\Roaming\tor\lock
%UserProfile%\AppData\Roaming\tor\state
 

Questi sono chiavi di registro riconducibili al Ransomware Erebus 

%UserProfile%\[random].exe
HKCU\Software\Classes\mscfile
HKCU\Software\Classes\mscfile\shell\open\command
HKCU\Software\Classes\mscfile\shell\open\command\   
HKCU\Software\Classes\mscfile\shell
HKCU\Software\Classes\mscfile\shell\open
 

 

 

 

Ultime Notizie

  • Europa nuovamente sotto assedio
  • Virus Cryptolocker veicolati tramite PEC
  • Nuova versione Crypt0l0cker
  • Erebus il nuovo ransomware con il by-pass UAC
  • Chi siamo
  • Ransomware
  • Backup remoto
  • Contatti
  • Ultime Notizie
OpenFile è un marchio di 2open Via Appia Nuova 1083/1087 - 00178 Roma Telefono: 06.20.22.646

Realizzazione siti web

P.IVA 08397281000 © 2000 - 2016