Fonte www.cert-pa.it
L’azienda di sicurezza Yoroi Z-Lab informa di aver rilasciato un tool per il recupero dei files cifrati dal ransomware LooCipher a patto che il pc non sia stato riavviato dopo l’infezione.
Secondo il rapporto di Yoroi, LooCipher utilizza, come vettore di infezione, allegati Word contenenti macro (.docm) malevoli. In particolare sono stati individuati e analizzati due dropper, contenenti una semplice riga di testo che invita l’utente ad abilitare l’esecuzione delle macro:
- “Info_BSV_2019.docm”
- “Info_Project_BSV_2019.docm”
Il codice della macro provvede al download del ransomware vero e proprio attraverso una connessione alla rete Tor all’indirizzo “hxxp://hcwyo5rfapkytajg[.]onion”. Una volta avviato, il malware inizia a cifrare tutti i file contenuti nell’hard disk, ad eccezione di “Program Files”, “Program Files (x86)”, “Windows” in modo da consentire l’utente di accedere alla macchina e visualizzare la richiesta di riscatto.
Le estensioni utilizzate per cifrare i files sono diverse, come già riscontrato per altre famiglie di ransomware:
.jpg, .jpeg, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3 , .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class,. java, .asp, .aspx, .cgi, .php, .py, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr , .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d,. 3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv , .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v,.mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, .mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc , .nrg, .nri, .cdi, .ai, .doc, .docm, .docx, .dxg, .odb, .odm, .odp, .ods, .odt, .orf, .ppt, .pptm,. pptx, .rtf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .pdf, .mobi, .epub, .sage.
Al termine della procedura di cifratura,LooCipher crea un file di FAQ sul desktop della vittima con le istruzioni per procedere, entro 5 giorni, al pagamento del riscatto tramite versamento ad un indirizzo Bitcoin, ottenuto dinamicamente ad ogni infezione tramite comunicazione col server C2. In caso di indisponibilità della rete, viene fornito un indirizzo di wallet Bitcoin presente all’interno del codice del ransomware. Per comunicare con il C&C, ospitato all’indirizzo di rete Tor hxxp://hcwyo5rfapkytajg[.]onion, il ransomware utilizza una serie di proxy al posto di librerie installate sulla macchina della vittima.
