Hitler-Ransomware, il ransomware che cancella i file

Con la presente Yoroi desidera comunicarLe che è stata recentemente resa nota una nuova tipologia di Ransomware che minaccia di cancellare i file nel caso in cui non si paghi il riscatto entro un limite di tempo prefissato.

Questa nuova minaccia è stata inizialmente identificata e condivisa da Jakub Kroustek, analista di malware presso AVG.
Il ransomware, denominato Hitler-Ransomware, deve il suo nome alla immagine del noto dittatore mostrata durante l'infezione.
Alla prima esecuzione il malware esegue uno script .bat che rimuove l'estensione dei file presenti nella cartella del profilo utente impedendo al sistema di riconoscere la tipologia dei file, simulando di fatto una cifratura che in realtà non avviene ed in seguito mostra una applicazione che blocca lo schermo e visualizza la richiesta di riscatto e un conteggio alla rovescia.

Fig. 1: Applicazione utilizzata per bloccare lo schermo e richiedere il riscatto

Al termine del countdown il malware forza il riavvio del computer causando un crash di sistema. All'avvio successivo uno script impostato per partire automaticamente dopo il login cancella tutti i file presenti nella cartella del profilo utente (%UserProfile%).

Osservando i commenti presenti nei file coinvolti nell'infezione e l'anomala richiesta di riscatto di 25€ in Vodafone Cards si può ipotizzare che questa variante sia in realtà una versione di test rilasciata preventivamente dagli sviluppatori.

Se si incorre in questo tipo di infezione è necessario, per impedire la cancellazione dei file, fare molta attenzione a non riavviare la macchina.
Pertanto Yoroi consiglia di disabilitare il riavvio automatico dopo i crash di sistema seguedo le seguenti istruzioni:

1. Cliccare sul menu "Start"
2. Digitare nella barra di ricerca "Esegui" e cliccare sull'applicazione Esegui che appare
3. Digitare nella finestra che appare "sysdm.cpl" e premere Invio
4. Cliccare sull'etichetta Avanzate
5. Nell'area Avvio e ripristino cliccare il pulsante "Importazioni..."
6. Rimuovere la spunta da "Riavvia automaticamente" nell'area Errore di sistema
7. Premere Ok
8. Chiudere la finestra Proprietà del sistema
9. Riavviare il sistema per applicare le modifiche

Per rimuovere la minaccia da una macchina infetta Yoroi suggerisce di eseguire le seguenti operazioni:

1. Riavviare il sistema in Modalità Provvisoria (Safe-mode)
2. Ricercare e rimuovere dalla cartella %TEMP% la cartella contenente i seguenti file (tipicamente C:UsersNOME_UTENTEAppDataLocalTempRANDOM.tmp):
   • chrst.exe
   • ErOne.vbs
   • ExtraTools.bat
   • firefox32.exe
3. Rimuovere eventuali occorrenze dei file del punto 2 dagli script di Esecuzione automatica (C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup)

Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index