locky

Locky va offline (di proposito)

L’ultima versione del ransomware Locky è dotata di una modalità offline che entra in funzione quando tutti i tentativi di connessione con i server di comando e controllo (C&C) falliscono.

La nuova variante, scoperta nel luglio 2016, ha molto in comune con gli adolescenti che continuano a giocare con i propri smartphone anche dopo che un genitore ha scollegato il router del WiFi: benché sembri effettivamente che siano stati disconnessi, continuano a giocare grazie a uno stratagemma.

“In passato gli amministratori di sistema potevano bloccare tutte le connessioni con i C&C e impedire a Locky di crittografare i file del sistema. Quei tempi sono finiti”, afferma Moritz Kroll, specialista di malware di Avira. “Ora Locky ha ridotto le possibilità che le potenziali vittime riescano a evitare il disastro”.

Dal momento in cui la nuova variante si mette all’opera rimane pochissimo tempo. Locky esegue un processo di comunicazione definito nell’ambito del quale per prima cosa prova tutti i C&C della configurazione, poi tutti i C&C dell’algoritmo di generazione dei nomi di dominio (12 al giorno). Se tale processo non riesce, ci riprova una volta con tutti i C&C, poi prova nuovamente un C&C della configurazione. Se anche questi tentativi falliscono, passa in modalità di crittografia offline.

Dal momento in cui Locky infetta il dispositivo all’avvio della modalità di crittografia offline passano uno o due minuti.

“Passando in rassegna i miei C&C ha accumulato 3 ritardi, ognuno della durata compresa tra 10 e 20 secondi. Non è il massimo per gli amministratori che cercano di intercettare le richieste”, afferma. “Sebbene Locky stia ancora tentando di instaurare connessioni e queste possano essere osservate, i file vengono crittografati anche se i tentativi falliscono. Un amministratore che si accorga di tali connessioni avrà a disposizione pochissimo tempo per spegnere il computer prima che i dati vengano danneggiati”.

Le chiavi delle vittime offline sono differenti

Il nuovo Locky genera i codici ID per le vittime offline in modo diverso da quelli per le vittime online. In modalità offline Locky non è in grado di iscrivere l’ID di una vittima direttamente nel server per ottenere una chiave pubblica specifica per tale vittima, come accade normalmente. In questi casi usa una chiave pubblica della configurazione e genera un ID speciale per la pagina di pagamento.

locky-with-offline-config

In questo nuovo Locky la chiave pubblica è condivisa da tutte le “vittime offline” infettate con campioni che presentano la stessa configurazione. Tale chiave pubblica è dotata di un ID grazie al quale il server alla fine è in grado di distinguere le chiavi pubbliche delle diverse configurazioni di Locky.

Per riuscire a distinguere le varie vittime offline e controllare se abbiano già pagato, per ciascuna di loro Locky genera anche uno speciale ID che appare nel testo della richiesta di riscatto.

Tale ID speciale è generato partendo dalle informazioni seguenti:

  • le prime sei cifre esadecimali dell’ID normale della vittima, che si basa su un GUID di una partizione dell’hard disk
  • la lingua dell’interfaccia utente predefinita
  • la versione e il tipo di sistema operativo (server e non)
  • se la vittima fa parte di un controller di dominio (in questo caso la vittima fa probabilmente parte di una società e il riscatto richiesto può essere maggiore)
  • l’ID affiliato della configurazione (che solitamente identifica il “canale” attraverso il quale il malware è stato diffuso)
  • l’ID della chiave pubblica della configurazione

Differenziazione tra vittime online e offline

Per differenziare gli ID normali da quelli speciali, il nuovo Locky codifica questi ultimi con un alfabeto a 32 caratteri “YBNDRFG8EJKMCPQX0T1UWISZA345H769” anziché con le cifre esadecimali “0123456789ABCDEF”. Grazie a questo ID speciale, il server Locky è in grado di estrarre l’ID della chiave pubblica necessario per fornire la chiave privata corretta alla vittima.

locky-id-encoding-with-custom-alphabet

Sconto sul riscatto per le vittime giudiziose

Tale chiave privata, condivisa con tutte le altre vittime offline della stessa configurazione di Locky, crea diversi sconti potenziali per le vittime. “In teoria, per un’azienda con un controller di dominio che venga attaccata dal nuovo Locky e che rilevi un ID non esadecimale come “BSYA47W0NGXSWFJ9″, potrebbe essere più economico generare un ID con lo stesso ID di chiave pubblica, ma senza rivelare che si tratta di un computer aziendale”, fa notare Kroll. “La chiave privata contenuta nel decrittatore per la chiave pubblica non aziendale dovrebbe funzionare anche per il computer aziendale e per tutte le altre vittime con la stessa chiave pubblica. Naturalmente è meglio prendere precauzioni, eseguire regolarmente il backup dei dati e cercare di non essere colpiti”.

Campione di riferimento: SHA256 01aa8c430a9653cc4ae0574e151658bde36fe59e57d3489e4216e4a0ef402170

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.