Per diversi mesi, i Quick Heal Security Labs hanno osservato una ripresa dell'attività dei ransomware. Tra questi, uno in particolare ha colpito la nostra attenzione: un nuovo ransomware scritto in linguaggio di programmazione Go. Questo ransomware si chiama Jcry e la sua routine di infezione inizia con un sito web compromesso.

Come mostrato sopra, uno dei siti web compromessi responsabili della diffusione di questo ransomware tenta di convincere l'utente a scaricare un update di Adobe Flash Player. Ovviamente non viene scaricato alcun update, al contrario il download avvia l'infezione. La figura sotto mostra una parte del codice Javascript presente sul dominio compromesso, responsabile del download del ransomware dall'URL mostrato. 

Il malware scaricato (flashplayer_install.exe) è un archivio auto-estraente. Una volta eseguito, estrarrà i seguenti componenti nella cartella "Startup", per garantirsi la persistenza sul sistema. 

questo file serve per mostrare all'utente un falso messaggio che lo avvisa del fatto che il sistema ha tentato di installare l'updare di Flash Player, ma che l'accesso all'utente è vietato. 

Questo eseguibile è responsabile della criptazione dei file ed è scritto in linguaggio GO.  Una volta eseguito, verifica per prima cosa l'esistenza del file "personaKey.txt", per stabilire se il sistema sia già stato compromesso o meno. Se il file esiste, il malware considera il sistema già compromesso e termina il proprio processo ed elimina anche i componenti scaricati. Se il file non esiste, invece, si avvia il processo di criptazione: jCry usa una combinazione di due algoritmi di criptazione AES e RSA. La chiave pubblica  RSA si trova nel codice del file enc.exe, successivamente usata per criptare la chiave AES. 

jCry cripta oltre 138 diverse estensioni di file, tra i quali:

Per velocizzare l'operazione di cifratura, jCry cripta solo 1 MB di dati per ogni file con dimensioni superiori a 1 MB: terminato il processo, aggiunge al nome file l'estenzione .jcry, alla quale deve il proprio nome. Sotto un esempio di file criptati.

Terminata la criptazione, cancella le volume shadow copies tramite il comando  “vssadmin delete shadows /all”, così da impedire il recupero dei file con un ripristino di sistema. A questo punto lancia, tramite Powershell, il file Dec.exe

Una volta eseguito, Dec.exe termina e cancella per prima cosa  il file enc.exe. Dec.exe è una console applicazione console che chiede la chiave di decriptazione (la chiave privata RSA): inserita la chiave corretta dovrebbe decriptare i file criptati. 

Scarica anche la nota di riscatto sul desktop. Per recuperare i file vengono richiesti 500 dollari circa di riscatto e si fornisce un link Onion (hxxp://kpx5wgcda7ezqjty.onion) tramite il quale le vittime possono pagare il riscatto e ricevere la chiave privata. Nell'immagine sotto la nota di riscatto: