Alfonso Maruccia

CryptXXX, il successo della nuova variante

I ricercatori identificano una versione aggiornata del pericoloso ransomware, una minaccia che si è fatta più pericolosa che mai e ha già accumulato un buon bottino (illegale) nel giro di poche settimane

Roma - Si torna a parlare di CryptXXX, il ransomware che in questi mesi è stato preso di mira dagli esperti di Kaspersky Labs con la pubblicazione di tool in grado di decriptare i file presi in ostaggio dal malware. Una nuova variante rende la decodifica di nuovo impossibile, e le analisi confermano il successo dell'operazione dal punto di vista economico.

La versione aggiornata di CryptXXX è stata scovata dai ricercatori di SentinelOne, e tra le novità salienti include un nuovo meccanismo di cifratura di maggiore robustezza che dovrebbe rendere più complicato il lavoro di analisi e decodifica da parte delle security enterprise internazionali.

I file criptati da CryptXXX sono ora riconoscibili dall'estensione "crypt1", rispetto alle variabili ".crypz" e ".crypt" usate in precedenza, mentre il malware si incarica di cancellare le copie shadow salvate da Windows per rendere impossibile il recupero dei dati da parte dell'utente.
Una volta verificata l'attendibilità dell'"offerta" dei cyber-criminali con la decodifica di un file campione dalle dimensioni massime di 512 Kilobyte, l'utente viene indirizzato all'esborso di una cifra in Bitcoin (500 dollari o giù di lì) per ottenere la chiave crittografica necessaria allo sblocco dei file su disco.

Tenendo sotto controllo l'indirizzo Bitcoin fornito dagli sviluppatori, i ricercatori hanno identificato la ricezione di almeno 70 Bitcoin solo nelle ultime tre settimane; senza voler considerare il passato, quindi, il business recente di CryptXXX ha già permesso di incassare circa 45mila dollari in puro profitto criminale. Ulteriore segno del fatto che se il crimine non paga, il crimeware con riscatto del ransomware certamente sì.

Alfonso Maruccia
Notizie collegate
  • SicurezzaKaspersky scardina CryptXXXL'azienda russa rilascia un nuovo strumento per decodificare i file presi in ostaggio dal ransomware. Una buona notizia per le vittime di questi malware
  • AttualitàTeslaCrypt non fa più pauraI creatori del pericoloso ransomware che ha tenuto in scacco i computer di mezzo mondo si redimono dai peccati commessi e rilasciano gratuitamente la chiave che permette di liberare gratis i dati ancora sequestrati
  • SicurezzaPetya, decodificato il ransomwareUno sviluppatore pubblica il necessario per ripulire i PC infetti dal malware e rendere i dischi fissi criptati di nuovo accessibili. Il cyber-crimine, almeno in questo caso, non paga. In attesa di varianti future a prova di decodifica
28 Commenti alla Notizia CryptXXX, il successo della nuova variante
Ordina
  • Sono stati un successone questi bitcoin, ci servivano proprio, il mondo e' un posto migliore da quando sono stati inventati.
  • .. che i file del cryptolocker inviati via email siano scritti in Javascript?
    non+autenticato
  • Infatti nei sistemi che amministro i files .js (e non solo) sono classificati "as spam"
    non+autenticato
  • Il crimine paga sempre perchè non deve sottostare ad alcuna regola,inoltre hanno molta più fantasia e molte possibiltà di fare il loro lavoro.

    Complimenti ai programmatoriSorride
    non+autenticato
  • Quoto quanto detto, ma ovviamente non così drastico..

    In aggiunta dico che penso che di varianti ne usciranno ad infinito perchè questo metodo funziona..
    Penso che i produttori di sistemi di sicurezza dovrebbero concentrarsi sul ciò che accumuna nel funzionamento tutti questi tipi di Malware (invece del funzionamento del singolo da bloccare in ritardo) ed una volta trovato quello (son varianti, qualcosa di comune ce l'hanno per forza nel funzionamento, nel Crypt ecc..), bloccarli così alla radice, rendendo inutili le future varianti.
    non+autenticato
  • - Scritto da: Mao99
    > Quoto quanto detto, ma ovviamente non così
    > drastico..
    >
    > In aggiunta dico che penso che di varianti ne
    > usciranno ad infinito perchè questo metodo
    > funziona..
    > Penso che i produttori di sistemi di sicurezza
    > dovrebbero concentrarsi sul ciò che accumuna nel
    > funzionamento tutti questi tipi di Malware
    > (invece del funzionamento del singolo da bloccare
    > in ritardo) ed una volta trovato quello (son
    > varianti, qualcosa di comune ce l'hanno per forza
    > nel funzionamento, nel Crypt ecc..), bloccarli
    > così alla radice, rendendo inutili le future
    > varianti.
    Se è così facile avrai già la soluzione in tasca, vero?A bocca aperta
    non+autenticato
  • - Scritto da: Hop
    > - Scritto da: Mao99
    > > Quoto quanto detto, ma ovviamente non così
    > > drastico..
    > >
    > > In aggiunta dico che penso che di varianti ne
    > > usciranno ad infinito perchè questo metodo
    > > funziona..
    > > Penso che i produttori di sistemi di
    > sicurezza
    > > dovrebbero concentrarsi sul ciò che accumuna
    > nel
    > > funzionamento tutti questi tipi di Malware
    > > (invece del funzionamento del singolo da
    > bloccare
    > > in ritardo) ed una volta trovato quello (son
    > > varianti, qualcosa di comune ce l'hanno per
    > forza
    > > nel funzionamento, nel Crypt ecc..),
    > bloccarli
    > > così alla radice, rendendo inutili le future
    > > varianti.
    > Se è così facile avrai già la soluzione in tasca,
    > vero?
    >A bocca aperta

    Mah, a dire il vero aspettiamo che la tiri fuori tu una soluzione, essendo un winuser, che poi siete quelli che usate i computer 'seri' con il sistema professionale, quindi che c'è vò, per voi che sapete come usare windowsss, aspetta o sono solo chiacchiere senza distindivo alla MVP.Imbarazzato

    Poi eventualmente ci fossero problemi... con le vostre certificazioni... e una fumata vero?Ficoso
    non+autenticato
  • - Scritto da: Il fuddaro
    > - Scritto da: Hop
    > > - Scritto da: Mao99
    > > > Quoto quanto detto, ma ovviamente non così
    > > > drastico..
    > > >
    > > > In aggiunta dico che penso che di varianti
    > ne
    > > > usciranno ad infinito perchè questo metodo
    > > > funziona..
    > > > Penso che i produttori di sistemi di
    > > sicurezza
    > > > dovrebbero concentrarsi sul ciò che
    > accumuna
    > > nel
    > > > funzionamento tutti questi tipi di Malware
    > > > (invece del funzionamento del singolo da
    > > bloccare
    > > > in ritardo) ed una volta trovato quello
    > (son
    > > > varianti, qualcosa di comune ce l'hanno per
    > > forza
    > > > nel funzionamento, nel Crypt ecc..),
    > > bloccarli
    > > > così alla radice, rendendo inutili le
    > future
    > > > varianti.
    > > Se è così facile avrai già la soluzione in
    > tasca,
    > > vero?
    > >A bocca aperta
    >
    > Mah, a dire il vero aspettiamo che la tiri fuori
    > tu una soluzione, essendo un winuser, che poi
    > siete quelli che usate i computer 'seri' con il
    > sistema professionale, quindi che c'è vò, per voi
    > che sapete come usare windowsss, aspetta o sono
    > solo chiacchiere senza distindivo alla MVP.
    >Imbarazzato
    >
    Mai avuto virus, la mia interfaccia cadrega-tastiera funzionaA bocca aperta
    non+autenticato
  • Ci sono due problemi uno e' tra la sedia e la tastiera , aprire i file allegati con prudenza pensando a quello che si fa e' troppo complicato ...

    Poi un sistema operativo che nelle sue varie versioni permette ad un javascript di scaricare ed eseguire codice ... be' qui ci vuole un piumone pietoso .
    non+autenticato
  • - Scritto da: Lorenzo
    > Ci sono due problemi uno e' tra la sedia e la
    > tastiera , aprire i file allegati con prudenza
    > pensando a quello che si fa e' troppo complicato
    > ...
    >
    No c'è solo un problema, quanti risiedono sulla sedia, pensano che il loro OS magic, provvede a tutto e per tutto, per loro.

    >
    > Poi un sistema operativo che nelle sue varie
    > versioni permette ad un javascript di scaricare
    > ed eseguire codice ... be' qui ci vuole un
    > piumone pietoso

    Beh stiamo parlando di un sistema serio che usano utenti professionali, quindi il danno provocato dal' OS deve essere il massimo professionale, e
    Per distinguersi dagli altri OS tipo quelli fatti in 'cantina', ci mette del suo per amplificare qualsiasi cosa i processi di sistema stiano facendo.

    Non per niente la marketta preferita dal padella è: vi stiamo portando verso un nuovo futuro!Sorpresa A bocca apertaCon la lingua fuori
    > .
    non+autenticato
  • Ransomware-as-a-service perché ve lo danno in abbonamento insieme agli altri servizi Azure?
    Il Padella aveva proprio ragione quando diceva "cloud first".
    Poveri Winari, prima almeno venivano bucati gratis. Adesso pagano pure... Triste
    non+autenticato
  • - Scritto da: Mao99
    > Quoto quanto detto, ma ovviamente non così
    > drastico..
    >
    > In aggiunta dico che penso che di varianti ne
    > usciranno ad infinito perchè questo metodo
    > funziona..
    > Penso che i produttori di sistemi di sicurezza
    > dovrebbero concentrarsi sul ciò che accumuna nel
    > funzionamento tutti questi tipi di Malware
    > (invece del funzionamento del singolo da bloccare
    > in ritardo) ed una volta trovato quello (son
    > varianti, qualcosa di comune ce l'hanno per forza
    > nel funzionamento, nel Crypt ecc..), bloccarli
    > così alla radice, rendendo inutili le future
    > varianti.

    una soluzione c'è già. Si chiama backup offline.
    non+autenticato
  • - Scritto da: PandaR1
    > - Scritto da: Mao99
    > > Quoto quanto detto, ma ovviamente non così
    > > drastico..
    > >
    > > In aggiunta dico che penso che di varianti ne
    > > usciranno ad infinito perchè questo metodo
    > > funziona..
    > > Penso che i produttori di sistemi di
    > sicurezza
    > > dovrebbero concentrarsi sul ciò che accumuna
    > nel
    > > funzionamento tutti questi tipi di Malware
    > > (invece del funzionamento del singolo da
    > bloccare
    > > in ritardo) ed una volta trovato quello (son
    > > varianti, qualcosa di comune ce l'hanno per
    > forza
    > > nel funzionamento, nel Crypt ecc..),
    > bloccarli
    > > così alla radice, rendendo inutili le future
    > > varianti.
    >
    > una soluzione c'è già. Si chiama backup offline.

    ho già salvato una situazione apparentemente disperata grazie ai backup. Ripristinare comunque è una gran rottura.
    non+autenticato
  • - Scritto da: fisico bestiale

    > ho già salvato una situazione apparentemente
    > disperata grazie ai backup. Ripristinare comunque
    > è una gran
    > rottura.

    ma almeno hai ripristinto
    non+autenticato
  • dagli IP si conosce la zona geografica in cui si trovano i server, si sale a bordo di un F15 oppurtunamente armato e si lanciano missili hellfire nei punti necessari, se necessario si ripete l'operazione.
    Il problema bitcoin, viene opportunamente risolto, anonimità non concessa problema risolto.
    Se si trovano i responsabili un pezzo di corda e un pò di sapone non si negano a nessuno.
  • - Scritto da: Giuseppe2016
    > dagli IP si conosce la zona geografica in cui si
    > trovano i server, si sale a bordo di un F15
    > oppurtunamente armato e si lanciano missili
    > hellfire nei punti necessari, se necessario si
    > ripete
    > l'operazione.
    Pare che puntino al router di casa tua...A bocca aperta
    non+autenticato
  • - Scritto da: Giuseppe2016
    > dagli IP si conosce la zona geografica in cui si trovano i server, si
    > sale a bordo di un F15 oppurtunamente armato e si lanciano missili
    > hellfire nei punti necessari, se necessario si ripete l'operazione.

    Di solito per comunicare usano il flusso di ritorno verso IP connessi alla rete satellitare. Il server di destinazione è di solito incolpevole e risponde con un errore, ma intanto i dati sono arrivati in broadcast a tutta Europa e in parte di Asia e Africa.
    Che si fa? Opzione "Guerra termonucleare globale"? No, dai, continua a giocare a "Tic-tac-toe" che è meglio...
    non+autenticato
  • - Scritto da: SIGLAZY
    > - Scritto da: Giuseppe2016
    > > dagli IP si conosce la zona geografica in cui
    > si trovano i server,
    > si
    > > sale a bordo di un F15 oppurtunamente armato e
    > si lanciano
    > missili
    > > hellfire nei punti necessari, se necessario si
    > ripete
    > l'operazione.
    >
    > Di solito per comunicare usano il flusso di
    > ritorno verso IP connessi alla rete satellitare.
    > Il server di destinazione è di solito incolpevole
    > e risponde con un errore, ma intanto i dati sono
    > arrivati in broadcast a tutta Europa e in parte
    > di Asia e
    > Africa.
    > Che si fa? Opzione "Guerra termonucleare
    > globale"? No, dai, continua a giocare a
    > "Tic-tac-toe" che è
    > meglio...

    ma che... oh!A bocca storta
    non+autenticato