Il ransomware Exotic cripta anche i file EXE

Ott 17, 2016 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0

Il malware colpisce tutti i file contenuti nelle cartelle colpite, senza risparmiare i file eseguibili. Individuate tre varianti nel giro di pochi giorni.

Se ci fosse una classifica per i ransomware più aggressivi, Exotic si piazzerebbe di sicuro ai primi posti. Il malware, individuato per la prima volta il 12 ottobre, utilizza una serie di tecniche che lo rendono particolarmente distruttivo.

Lo schema è sempre il solito: una volta avviato, il ransomware individua tutti i file memorizzati sul disco selezionandoli in base all’estensione e ne avvia la cifratura.

Proprio la scelta delle estensioni è ciò che rende particolarmente fastidioso Exotic: a differenza di molti “colleghi”, però, il malware non risparmia i file eseguibili (di solito esclusi) che si trovano nelle cartelle colpite, che di conseguenza vengono crittografati e resi inutilizzabili.

Per fortuna Exotic limita la sua azione ad alcune cartelle specifiche, tutte contenute all’interno della cartella utente, e non colpisce altri percorsi come la cartella Programmi. Tra le cartelle colpite, però, c’è anche il Desktop. Eventuali eseguibili conservati al suo interno, quindi, verrebbero crittografati.

Exotic visualizza una richiesta di riscatto piuttosto modesta (50 dollari in bitcoin) per riottenere i file. Come sempre, però, è bene tenere presente che non c’è nessuna garanzia che i pirati rispettino la parola data.

La richiesta, nelle prime versioni, veniva visualizzata con uno sfondo che ritraeva Hitler in diverse pose. La terza variante del ransomware rilevata, invece, usa uno strumento di pressione copiato da un altro malware simile: Jigsaw.

Il ransomware, infatti, avvisa la vittima che, in caso di mancato pagamento del riscatto entro 72 ore, tutti i file crittografati verranno eliminati. Nel frattempo, però, il malware cancellerà dei file a caso ogni 5 ore.

Le prime versioni di Exotic visualizzavano la richiesta di riscatto con uno sfondo che ritraeva Adolf Hitler.

Oltre a cifrarne il contenuto, Exotic modifica il nome dei file al momento della cifratura, modificandone anche l’estensione. Un file test.jpg, per esempio, diventerebbe qualcosa tipo 87as.exotic.

Uno stratagemma che rende più difficile (se non impossibile) individuare i file originali e ostacola così le eventuali operazioni di decodifica.

Mentre esegue le operazioni di cifratura, il ransomware controlla i processi in esecuzione sul computer confrontandoli con una lista di “indesiderati”. L’elenco comprende taskmgr; cmd; procexp; procexp64; regedit; CCleaner64 e msconfig. Se ne individua uno, lo termina senza troppi complimenti.

Una copia del malware viene anche copiata in %Utente%\AppData\Roaming\Microsoft\Windows\Menu Start\Programmi\Esecuzione Automatica\svchost.exe. Trovandosi nella cartella utente, però, il file viene crittografato a sua volta, ed è quindi innocuo.

Stando a quanto riportato dai ricercatori che hanno analizzato il malware, Exotic sarebbe ancora in una fase di “sviluppo” ed è improbabile che sia già in circolazione. Magra consolazione…

Condividi l'articolo