info@seqrite.it +39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
info@seqrite.it
+39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
SEQRITE
  • PRODOTTI
  • RISORSE
  • SUPPORTO
  • PARTNER
  • NEWS
  • CHI SIAMO
  • CONTATTI
  • PRODOTTI

    PROTEZIONE ENDPOINT E DATI

    »Endpoint Security On Premise »Endpoint Security Cloud »Seqrite Encryption Manager »Gestione Dispositivi Mobile aziendali
    • Seqrite mSuite

    SICUREZZA GATEWAY

    »Unified Threat Management (UTM)

    PROTEZIONE SERVER

    »Seqrite Antivirus per Server
  • RISORSE
    News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
    Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
    Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
    Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
    Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
    White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
  • SUPPORTO
    FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
    APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
    SUPPORTO UTENTI Scrivi un messaggio al team di supporto Seqrite.
    Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
    Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
  • PARTNER
    PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
    DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
    LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
    REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
  • NEWS
  • CHI SIAMO
    PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
    LEADERSHIP Management team di Seqrite
    PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore
  • CONTATTI

PROTEZIONE ENDPOINT E DATI

»Endpoint Security On Premise »Endpoint Security Cloud »Seqrite Encryption Manager »Gestione Dispositivi Mobile aziendali
  • Seqrite mSuite

SICUREZZA GATEWAY

»Unified Threat Management (UTM)

PROTEZIONE SERVER

»Seqrite Antivirus per Server
News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
SUPPORTO UTENTI Scrivi un messaggio al team di supporto Seqrite.
Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
LEADERSHIP Management team di Seqrite
PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore

11 aprile 2019
Alert: nuovo ransomware. Arriva jCry, scritto in linguaggio GO


Per diversi mesi, i Quick Heal Security Labs hanno osservato una ripresa dell'attività dei ransomware. Tra questi, uno in particolare ha colpito la nostra attenzione: un nuovo ransomware scritto in linguaggio di programmazione Go. Questo ransomware si chiama Jcry e la sua routine di infezione inizia con un sito web compromesso.


Come mostrato sopra, uno dei siti web compromessi responsabili della diffusione di questo ransomware tenta di convincere l'utente a scaricare un update di Adobe Flash Player. Ovviamente non viene scaricato alcun update, al contrario il download avvia l'infezione. La figura sotto mostra una parte del codice Javascript presente sul dominio compromesso, responsabile del download del ransomware dall'URL mostrato. 


Flusso di esecuzione:


Analisi tecnica 
Il malware scaricato (flashplayer_install.exe) è un archivio auto-estraente. Una volta eseguito, estrarrà i seguenti componenti nella cartella "Startup", per garantirsi la persistenza sul sistema. 

Componenti:
  1. msg.vbs
  2. Enc.exe
  3. Dec.exe

Vediamoli in dettaglio:

1. msg.vbs:
questo file serve per mostrare all'utente un falso messaggio che lo avvisa del fatto che il sistema ha tentato di installare l'updare di Flash Player, ma che l'accesso all'utente è vietato. 


2. Enc.exe (Encryptor):
Questo eseguibile è responsabile della criptazione dei file ed è scritto in linguaggio GO.  Una volta eseguito, verifica per prima cosa l'esistenza del file "personaKey.txt", per stabilire se il sistema sia già stato compromesso o meno. Se il file esiste, il malware considera il sistema già compromesso e termina il proprio processo ed elimina anche i componenti scaricati. Se il file non esiste, invece, si avvia il processo di criptazione: jCry usa una combinazione di due algoritmi di criptazione AES e RSA. La chiave pubblica  RSA si trova nel codice del file enc.exe, successivamente usata per criptare la chiave AES. 


jCry cripta oltre 138 diverse estensioni di file, tra i quali:

“3dm, 3ds, 3g2, 3gp, 7z, ai, aif, apk, app, asf, asp, avi, b, bak, bin, bmp, c, cbr, cer, cfg, cfm, cgi, cpp, crx, cs, csr, css, csv, cue, dat, db, dbf, dcr, dds, deb, dem, der, dmg, dmp, doc, dtd, dwg, dxf, eps, fla, flv, fnt, fon, gam, ged, gif, gpx, gz, h, hqx, htm, ics, iff, iso, jar, jpg, js, jsp, key, kml, kmz, log, lua, m, m3u, m4a, m4v, max, mdb, mdf, mid, mim, mov, mp3, mp4, mpa, mpg, msg, msi, nes, obj, odt, otf, pct, pdb, pdf, php, pkg, pl, png, pps, ppt, ps, psd, py, rar, rm, rom, rpm, rss, rtf, sav, sdf, sh, sln, sql, srt, svg, swf, tar, tex, tga, thm, tif, tmp, ttf, txt, uue, vb, vcd, vcf, vob, wav, wma, wmv, wpd, wps, wsf, xlr, xls, xml, yuv, zip”

Per velocizzare l'operazione di cifratura, jCry cripta solo 1 MB di dati per ogni file con dimensioni superiori a 1 MB: terminato il processo, aggiunge al nome file l'estenzione .jcry, alla quale deve il proprio nome. Sotto un esempio di file criptati.


Terminata la criptazione, cancella le volume shadow copies tramite il comando  “vssadmin delete shadows /all”, così da impedire il recupero dei file con un ripristino di sistema. A questo punto lancia, tramite Powershell, il file Dec.exe

3. Dec.exe
Una volta eseguito, Dec.exe termina e cancella per prima cosa  il file enc.exe. Dec.exe è una console applicazione console che chiede la chiave di decriptazione (la chiave privata RSA): inserita la chiave corretta dovrebbe decriptare i file criptati. 


Scarica anche la nota di riscatto sul desktop. Per recuperare i file vengono richiesti 500 dollari circa di riscatto e si fornisce un link Onion (hxxp://kpx5wgcda7ezqjty.onion) tramite il quale le vittime possono pagare il riscatto e ricevere la chiave privata. Nell'immagine sotto la nota di riscatto:

Indicatori di compromissione:
flashplayer_install.exe: c86c75804435efc380d7fc436e344898
Enc.exe : 5B640BE895C03F0D7F4E8AB7A1D82947
Dec.exe : 6B4ED5D3FDFEFA2A14635C177EA2C30D
Recovery Link: hxxp://kpx5wgcda7ezqjty.onion
Wallet Id: 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt

Ultime news

Per saperne di più

Malware per il mining di Criptovaluta: tutto ciò che è utile sapere sui miner di Bitcoin

08 aprile 2021

Gli occhi di tutto il mondo sono puntati sui Bitcoin ora che la valutazione di questa criptovaluta ha toccato il massimo storico. ...

Per saperne di più

Zloader: l'evoluzione della catena di infezione

29 marzo 2021

Zloader, conosciuto anche come Terdot, è una variante del famigerato trojan bancario Zeus, molto conosciuto per l'uso assai aggres...

Per saperne di più

MassLogger: lo spyware e keylogger emergente diffuso in Italia con campagne email

04 marzo 2021

Da qualche mese il CERT-AgID denuncia la diffusione in Italia di un nuovo malware chiamato MassLogger: è distribuito tramite campa...

Supporto

Vedi le FAQ
Supporto Utenti
Partner Program
Diventa Partner
Community Seqrite

Risorse

News
White Papers
Report sulle minacce
Manuali
Case Studies

Chi siamo

Panoramica
Perché Seqrite
Leadership
Premi e Certificazioni
Contatti





P.IVA: 05345670482   
© S-MART è un marchio di proprietà netWork Sas