Erebus il nuovo ransomware con il by-pass UAC
Inserito da Fabio Angelucci
[20/01/2017] Un nuovo Ransomware chiamato Erebus è stato scoperto dal team di MalwareHunter. Le novità importanti introdotte da questo tipo di Ransomware sono fondamentalmente due, la prima è la bassa somma di denaro richiesta da parte del virus (Circa 90$), la seconda (forse anche la più importante) l'uso di un by-pass UAC implementato all'interno del cryptovirus che permette di eseguire i file di cui necessita il ransomware senza visualizzare nessuna richiesta di UAC.
Un nuovo Ransomware chiamato Erebus è stato scoperto dal team di MalwareHunter.
Le novità importanti introdotte da questo tipo di Ransomware sono fondamentalmente due, la prima è la bassa somma di denaro richiesta da parte del virus (Circa 90$), la seconda (forse anche la più importante) l'uso di un by-pass UAC implementato all'interno del cryptovirus che permette di eseguire i file di cui necessita il ransomware senza visualizzare nessuna richiesta di UAC.
Potrete trovare maggiori informazioni sul by-pass cliccando questo link.
Una volta che Erebus riuscirà ad annidarsi all'interno del computer, inizierà una scansione completa di tutto l'archivio, dove cercherà di individuare tutti i file che presentano le seguenti estensioni :
“.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx”
Una volta individuati tutti i file, Erebus inizierà il processo di criptazione utilizzando una chiave ROT-23 durante la cifratura.
Un file chiamato Nomefile.jpeg diventerà automaticamente Nomefile.msj
Durante il processo di criptazione, Erebus cancellerà anche tutte le Shadow Copies impedendo alla vittima di recuperare tutte le “copie fantasma” che rimangono annidate all'interno del computer.
Il comando utilizzato da Erebus per eliminare queste ultime è il seguente :
cmd.exe /C vssadmin delete shadows /all /quiet && exit
Una volta terminata la fase di criptazione dei file, il virus anniderà all'interno del vostro computer un file chiamato readme.html, dove, oltre alla richiesta di riscatto e al vostro ID univoco, visualizzerete l'elenco di tutti i vostri file criptati.
Naturalmente, anche questa volta il riscatto viene chiesto sotto forma di Bitcoin: in questo modo, il criminale è cosciente del fatto che, in caso di mancata ricezione del programma per recuperare i vostri file, non potrà essere richiesto un rimborso.
Per finire, Erebus lancerà anche un messaggio all'interno del vostro S.O dove avvertirà che tutti i file sono stati criptati.
Questi sono alcuni file riconducibili al Ransomware Erebus :
%UserProfile%\AppData\Local\Temp\tor\%UserProfile%\AppData\Local\Temp\tor\Data\%UserProfile%\AppData\Local\Temp\tor\Tor\libevent_extra-2-0-5.dll%UserProfile%\AppData\Local\Temp\tor\Tor\libgcc_s_sjlj-1.dll%UserProfile%\AppData\Local\Temp\tor\Tor\libssp-0.dll%UserProfile%\Desktop\test\xor-test.pdf%UserProfile%\Desktop\README.html%UserProfile%\Documents\README.html%UserProfile%\[random].exe%UserProfile%\AppData\Local\Temp\tor\Tor\ssleay32.dll%UserProfile%\AppData\Local\Temp\tor\Tor\tor-gencert.exe%UserProfile%\AppData\Local\Temp\tor.zip%UserProfile%\AppData\Roaming\tor\%UserProfile%\AppData\Roaming\tor\cached-certs%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip6%UserProfile%\AppData\Roaming\tor\cached-microdesc-consensus%UserProfile%\AppData\Roaming\tor\cached-microdescs.new%UserProfile%\AppData\Roaming\tor\lock%UserProfile%\AppData\Roaming\tor\state
Questi sono chiavi di registro riconducibili al Ransomware Erebus
%UserProfile%\[random].exeHKCU\Software\Classes\mscfileHKCU\Software\Classes\mscfile\shell\open\commandHKCU\Software\Classes\mscfile\shell\open\command\HKCU\Software\Classes\mscfile\shellHKCU\Software\Classes\mscfile\shell\open