Nuovo ransomware Parisher

Il  trojan sembra colpire sistemi server e oltre a criptare i documenti presenti su dischi locali cifra anche i file raggiungibili tramite condivisioni di rete o NAS. Non è ancora chiaro quale sia il vettore ma non sembra essere legato a mail, allegati o pagine web, tanto che chi ha segnalato l’infezione dal ransomware Lokmann.key993 ha riportato di non aver eseguito alcuna attività sul sistema che possa aver causato l’avvio del trojan. Il ransomware sembra anche essere stato in grado di agire come Administrator.

In particolare, sembra che i delinquenti che diffondono l’infezione stiano utilizzando il protocollo Windows RDP (Remote Desktop Protocol) attraverso il software Microsoft RDC (Remote Desktop Connection) ma arrivano casi anche di ransomware inviati e attivati tramite TeamViewer o altri sistemi di desktop remoto di cui sono state acquisite in qualche modo le credenziali o una sessione aperta.

Una volta terminata l’infezione e cifrati numerosi documenti senza cambiarne l’estensione, il ransomware lascia sul PC un file dal nome “LOKMANN.KEY993” contenente 1024 caratteri esadecimali (presumibilmente una chiave da 512 byte), un file di log nel quale vengono elencati i file cifrati e una richiesta di riscatto nel file “HELLO.0MG” di questo tenore:

ID:255482
PC:SERVER08
USER:Administrator

=======

Hello there. I can decrypt your files.
Email me: parisher@protonmail.com
In case you don’t get a reply, please email me here*:
parisher@inbox.lv, parisher@mail.bg, parisher@india.com

* check your junk/spam folder first though 🙂

These files have been encrypted (please, keep this .log): C:\Windows\633591.log

Il file “633591.log” lasciato dal ransomware nella cartella di Windows contiene l’elenco dei file criptati ed è necessario per poter capire quali file decifrare nel momento in cui si trova una soluzione per recuperare i file.

A differenza dei criptovirus identificati ad aprile, questo ransomware non fornisce la possibilità di mettersi in contatto con il ricattatore tramite sistema di comunicazione sicuro e cifrato bitmessage. Il messaggio “HELLO.0MG” lasciato sul PC indica infatti di contattare il delinquente a uno dei seguenti indirizzi di posta elettronica per richiedere come recuperare i propri file cifrati:

  • parisher@protonmail.com
  • parisher@inbox.lv
  • parisher@mail.bg
  • parisher@india.com

Chi ha contattato gli indirizzi indicati ha ricevuto come risposta la richiesta allegare un file cifrato di dimensioni inferiori a 1MB e di poca importanza e il file con la chiave LOKMANN.KEY993, oltre a versare 5 bitcoin per poter recuperare i propri dati che sono stati cifrati dal ransomware.

Non sono al momento disponibili decryptor gratuiti per decifrare i file criptati.

Fonte: http://www.ransomware.it/