{"id":47343,"date":"2016-06-19T14:48:43","date_gmt":"2016-06-19T13:48:43","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=47343"},"modified":"2019-07-11T20:23:01","modified_gmt":"2019-07-11T19:23:01","slug":"ransomware-nuova-variante-raa-javascript","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/ransomware-nuova-variante-raa-javascript\/47343\/","title":{"rendered":"Ransomware. Nuova variante RAA in javascript"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69f8ab254421b\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69f8ab254421b\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/ransomware-nuova-variante-raa-javascript\/47343\/#Infetta_tramite_allegato_email\" >Infetta tramite\u00a0allegato email<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/ransomware-nuova-variante-raa-javascript\/47343\/#Come_funziona_il_ransomware_RAA\" >Come funziona il ransomware RAA<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/ransomware-nuova-variante-raa-javascript\/47343\/#Come_RAA_cripta_i_file_della_vittima\" >Come RAA cripta i file della vittima<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/alground.com\/site\/ransomware-nuova-variante-raa-javascript\/47343\/#RAA_JS_installa_anche_un_virus_che_ruba_le_password_Pony_Trojan\" >RAA JS installa anche un virus che ruba le password: Pony\u00a0Trojan<\/a><\/li><\/ul><\/nav><\/div>\n<p><span class=\"goog-text-highlight\">Una nuova variante\u00a0di ransomware \u00e8 stata scoperta ed \u00e8 stato chiamato RAA, ma ci\u00f2 che \u00e8 strano in questo caso \u00e8 che i creatori hanno voluto sviluppare il malware in un modo un p\u00f2\u00a0insolito\u00a0usando cio\u00e8 JavaScript, invece dei linguaggi di programmazione pi\u00f9 standard, e questo lo rende pi\u00f9 efficace in determinate situazioni.\u00a0<\/span><\/p>\n<p>I\u00a0ricercatori di sicurezza <a title=\"Link esterno\" href=\"http:\/\/twitter.com\/JAMESWT_MHT\" target=\"_blank\" rel=\"noopener noreferrer\">@JAMES_MHT<\/a> \u00a0e\u00a0 <a title=\"Link esterno\" href=\"http:\/\/twitter.com\/benkow_\" target=\"_blank\" rel=\"noopener noreferrer\">@benkow_<\/a>\u00a0 hanno scoperto RAA, un ransomware diverso\u00a0perch\u00e9 \u00a0non si moltiplica tramite un eseguibile, ma tramite\u00a0un file JS standard. Viene distribuito come sempre via email, con allegati infetti.<\/p>\n<p>Poich\u00e9 JavaScript di per s\u00e9 non dispone\u00a0di alcuna funzione di crittografia di default RAA\u00a0utilizza la libreria CryptoJS che ha permesso di crittografare tramite chiave\u00a0AES che viene poi\u00a0utilizzata per bloccare il backup dei file delle vittime.<\/p>\n<p>Utilizzare JavaScript come veicolo di infezione di un\u00a0ransomware non \u00e8 esattamente una tecnica nuova, ma non \u00e8 un metodo visto ogni giorno, ha detto il\u00a0ricercatore Jerome Segura.<\/p>\n<p>Kevin Epstein, vice presidente del centro operativo Proofpoint ha detto\u00a0in una intervista: &#8220;Come abbiamo in precedenza scritto\u00a0nel nostro blog, JavaScript \u00e8 in grado di fornire un vantaggio per gli attaccanti\u00a0rispetto a file\u00a0exe compilati &#8211; abbiamo visto ransomware scritti\u00a0in C ++ fino a file .bat; il rilevamento deve essere basato sulla dinamica di infezione cos\u00ec come sui metodi che utilizzano\u00a0file statici &#8220;.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Infetta_tramite_allegato_email\"><\/span>Infetta tramite\u00a0allegato email<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Aprendo l&#8217;allegato di una mail prende il via una serie di passaggi che non solo bloccano i files della vittima, ma scarica anche alcuni malware addizionali sul computer di destinazione. L&#8217;allegato visibilmente non fa\u00a0nulla, a vederlo\u00a0sembra un file danneggiato. Tuttavia, in realt\u00e0 \u00e8 occupato a fare il suo sporco lavoro in background. Questo include l&#8217;eliminazione di Windows Volume Shadow Copy in modo che i file crittografati non possano essere recuperati, inoltre \u00a0il ransomware \u00e8 impostato per eseguirsi\u00a0ogni volta che Windows viene avviato in modo che possa catturare qualsiasi nuova informazione.<\/p>\n<p>JavaScript \u00e8 molto utilizzato sul web e quindi \u00e8 un po &#8216;insolito vedere un ransomware &#8220;alimentato&#8221; da un linguaggio di scripting. Detto questo, siamo testimoni di molti vettori di infezione differenti che una volta erano considerati &#8220;vecchia scuola&#8221; (come le macro di Words ad esempio).<\/p>\n<p><strong>Al\u00a0momento non vi \u00e8 alcun modo per decifrare i file,<\/strong> anche se ci sono misure da adottare in grado di contrastare l&#8217;attacco.<\/p>\n<p>&#8220;Credo che questo dimostri che vi \u00e8 una moltitudine di modi per caricare ransomware e gli utenti\u00a0devono rimanere vigili. In questo caso particolare, porre sempre attenzione agli\u00a0allegati e-mail che contengono file JavaScript \u00e8\u00a0un buon modo di contrastare questi attacchi poich\u00e9 non vi \u00e8 davvero alcun scopo legittimo nell&#8217;invio quei file via e-mail in un contesto normale &#8220;, ha detto Segura.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Come_funziona_il_ransomware_RAA\"><\/span>Come funziona il ransomware RAA<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>RAA \u00e8 attualmente distribuito tramite e-mail come allegato, il file\u00a0sembra\u00a0essere\u00a0con estensione\u00a0doc e ha nomi come mgJaXnwanxlS_doc_.js. Quando si apre il file JS inizier\u00e0 a cifrare\u00a0il computer e quindi a chiedere un riscatto di ~ $ 250 USD per ottenere la descrittazione dei i file. A peggiorare le cose interviene il furto di password eseguito da\u00a0un altro\u00a0malware incorporato chiamato\u00a0 Pony\u00a0che RAA\u00a0installa sul computer della vittima.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Come_RAA_cripta_i_file_della_vittima\"><\/span>Come RAA cripta i file della vittima<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Quando la vittima fa doppio click sul file RAA JS, verr\u00e0 generato un documento word fasullo\u00a0nella cartella %Documenti%. Questo documento word avr\u00e0 un nome simile a doc_attached_CnIj4 e verr\u00e0 automaticamente aperto per far sembrare il file\u00a0danneggiato.\u00a0Mentre la vittima pensa che\u00a0il malware\u00a0sia\u00a0danneggiato, in background\u00a0\u00a0RAA inizier\u00e0 la scansione tutte le unit\u00e0 disponibili per\u00a0determinare se l&#8217;utente ha permessi sia in lettura che scrittura su di\u00a0essi. Se le unit\u00e0 possono essere scritte, far\u00e0\u00a0la scansione dell&#8217;unit\u00e0 e utilizzer\u00e0\u00a0il codice della\u00a0 <a href=\"http:\/\/code.google.com\/archive\/p\/crypto-js\/\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">libreria CryptoJS<\/a> \u00a0per crittografare utilizzando la crittografia AES.<\/p>\n<figure id=\"attachment_47349\" aria-describedby=\"caption-attachment-47349\" style=\"width: 663px\" class=\"wp-caption alignleft\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-47349\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2016\/06\/encryption-routine.jpg\" alt=\"Routine di criptazione dei file da parte di RAA\" width=\"663\" height=\"192\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/06\/encryption-routine.jpg 663w, https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/06\/encryption-routine-300x87.jpg 300w\" sizes=\"auto, (max-width: 663px) 100vw, 663px\" \/><figcaption id=\"caption-attachment-47349\" class=\"wp-caption-text\">Routine di criptazione del ransomware RAA<\/figcaption><\/figure>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>Quando un file \u00e8 stato crittografato, verr\u00e0 aggiunta\u00a0l&#8217;estensione\u00a0<strong>.locked<\/strong>\u00a0 al nome del file. Ci\u00f2 significa che un file chiamato test.jpg una volta\u00a0cifrato viene\u00a0rinominato come test.jpg.locked. I tipi di file presi di mira da questa infezione sono:<\/p>\n<pre><code>.doc, .xls, .rtf, .pdf, dbf, .jpg, dwg, .cdr, .psd, .CD, .mdb, .png, .LCD, .zip, .rar, .csv\r\n<\/code><\/pre>\n<p>Quando RAA cripta i files salter\u00e0\u00a0quelli\u00a0che contengono\u00a0 <strong>.locked<\/strong> , <strong>~<\/strong> e\u00a0 <strong>$<\/strong> o sono nelle seguenti cartelle:<\/p>\n<p><code>Programmi, Programmi (x86), Windows, Recycle.Bin, Recycler, AppData, Temp, ProgramData, Microsoft<\/code><\/p>\n<p>Quindi\u00a0il ransomware elimina\u00a0Windows Volume Shadow Copy Service (VSS) in modo che non possa essere utilizzato per recuperare i file dalle copie shadow del sistema. Ci sono due funzioni che si occupano di eliminare\u00a0il servizio VSS, ma non \u00e8 chiaro se cancella le copie shadow prima di eliminare il servizio.\u00a0Ci saranno nuovi aggiornamenti su successivi esami sul codice del malware.<\/p>\n<p>Infine, il ransomware creer\u00e0 una richiesta di riscatto sul desktop denominata <strong>!!!README!!![id].rtf<\/strong>\u00a0, dove\u00a0[ID] \u00e8 l&#8217;ID univoco assegnato alla vittima. Il testo di questa richiesta di riscatto \u00e8 in russo e si pu\u00f2 vedere il suo contenuto qui\u00a0sotto.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft wp-image-47352\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2016\/06\/raa_ransom.jpg\" alt=\"La schermata in russo che richiede il riscatto dopo l'infezione\" width=\"950\" height=\"869\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/06\/raa_ransom.jpg 896w, https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/06\/raa_ransom-300x275.jpg 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/06\/raa_ransom-768x703.jpg 768w\" sizes=\"auto, (max-width: 950px) 100vw, 950px\" \/><\/p>\n<p>Il file JS sar\u00e0 quindi impostato come autorun (che si avvia ad ogni apertura del sistema) in modo che venga eseguito ogni volta che Windows viene aperto. Ci\u00f2 consente\u00a0anche di\u00a0crittografare eventuali\u00a0nuovi documenti che sono stati creati dopo l&#8217;ultimo accesso.<\/p>\n<p>Questa \u00e8 la traduzione in inglese del testo russo<\/p>\n<pre><code>*** ATTENTION! ***\r\nYour files have been encrypted virus RAA.\r\nFor encryption was used algorithm AES-256 is used to protect information of state secrets.\r\nThis means that data can be restored only by purchasing a key from us.\r\nBuying key - a simple deed.\r\n\r\nAll you need to:\r\n1. Send your ID E993A9FD-C5D9-4128-AF38-71A54E1258DA to the postal address\r\nraa-consult1@keemail.me.\r\n2. Test decrypt few files in order to make sure that we do have the key.\r\n3. Transfer 0.39 BTC ($ 250) to Bitcoin-address\r\n15ADP9ErZTNgU8gBoJWFCujGbJXCRDzgTv.\r\nFor information on how to buy Bitcoin for rubles with any card -\r\n\/\/www.bestchange.ru\/visa-mastercard-rur-to-bitcoin.html\r\n4. Get the key and the program to decrypt the files.\r\n5. Take measures to prevent similar situations in the future.\r\n\r\nImportantly (1).\r\nDo not attempt to pick up the key, it is useless, and can destroy your data permanently.\r\n\r\nImportantly(2).\r\nIf the specified address (raa-consult1@keemail.me) you have not received a reply within 3 hours, you can use the service for communication Bitmessage (our address - BM-2cVCd439eH5kTS9PzG4NxGUAtSCxLywsnv).\r\nMore details about the program - \/\/bitmessage.org\/wiki\/Main_Page\r\n\r\nImportantly (3).\r\nWe CAN NOT long keep your All keys, for which no fee has been paid, are removed within a week after infection.\r\n\r\nREADME files located in the root of each drive.<\/code><\/pre>\n<p>&nbsp;<\/p>\n<p><strong>A questo punto non vi \u00e8 alcun modo per decriptare i file gratuitamente. Se qualche metodo di decrittazione verr\u00f2 scoperto in futuro, questo articolo verr\u00e0 aggiornato.<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"RAA_JS_installa_anche_un_virus_che_ruba_le_password_Pony_Trojan\"><\/span>RAA JS installa anche un virus che ruba le password: Pony\u00a0Trojan<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Se non fosse gi\u00e0 abbastanza grave per una vittima di avere i propri file crittografati, il ransomware RAA installa anche il virus\u00a0<a href=\"http:\/\/www.knowbe4.com\/pony-stealer\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">pony<\/a>\u00a0 che permette il\u00a0furto di password dal computer della vittima. Invece di scaricare e installare Pony da Internet, gli sviluppatori di malware hanno convertito il malware Pony in una stringa codificata base64 incorporato nel file JS.<\/p>\n<p>Si pu\u00f2 vedere una porzione del file codificato nel frammento di codice offuscato qui sotto.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-full wp-image-47357\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2016\/06\/encrypted-pony.png\" alt=\"encrypted-pony\" width=\"1305\" height=\"217\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/06\/encrypted-pony.png 1305w, https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/06\/encrypted-pony-300x50.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/06\/encrypted-pony-768x128.png 768w, https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/06\/encrypted-pony-1024x170.png 1024w\" sizes=\"auto, (max-width: 1305px) 100vw, 1305px\" \/><\/p>\n<p>I ransomware hanno ogni giorno nuove forze e nuovi metodi di infezione. Io consiglio vivamente chiunque, soprattutto i pi\u00f9 &#8220;addentro&#8221; alla sicurezza informatica di ripetere sempre di PREVENIRE tramite un (o pi\u00f9) backup su disco esterno NON collegato al pc. Anche in alcuni casi \u00e8 stato possibile, in parte, ritornare in possesso di file criptati, \u00e8 assolutamente necessario capire che tutto questo svanisce con un solo metodo: BACKUP.<br \/>\nAnche solo dover decrittare file, porta ad un blocco di tutte le nostre attivit\u00e0 e della nostra azienda che non \u00e8 ripagabile in nessun modo.<\/p>\n<p>Fate sempre, costantemente dei backup e metteteli al sicuro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una nuova variante\u00a0di ransomware \u00e8 stata scoperta ed \u00e8 stato chiamato RAA, ma ci\u00f2 che \u00e8 strano in questo caso \u00e8 che i creatori hanno voluto sviluppare il malware in un modo un p\u00f2\u00a0insolito\u00a0usando cio\u00e8 JavaScript, invece dei linguaggi di programmazione pi\u00f9 standard, e questo lo rende pi\u00f9 efficace in determinate situazioni.\u00a0 I\u00a0ricercatori di sicurezza [&hellip;]<\/p>\n","protected":false},"author":3,"featured_media":45442,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[1413],"tags":[],"class_list":{"0":"post-47343","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-attualita","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/01\/ransomware-1000x300.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/47343","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=47343"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/47343\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/45442"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=47343"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=47343"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=47343"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}