FTCODE cifra la chiave prima di inviarla al C&C

04/11/2019

ftcode ransomware

Se fino a qualche giorno fa era possibile utilizzare le tracce lasciate in chiaro dal ransomware ftcode, osservabili da apparati periferici, per individuare la chiave di cifratura e liberare i dati con l’ausilio di un decryptor, dalle analisi odierne emerge una nuova variante di ftcode che va a colmare questa lacuna vanificando di fatto le possibilità di individuare la chiave in chiaro.

Più dettagliatamente, la variante evolutiva di ftcode esegue le seguenti operazioni attraverso codice PowerShell:

  • Cifra la chiave prima di comunicarla al C&C
  • Genera un IV casuale per AES256
  • Genera un salt per l’algoritmo PBKDF1

Di seguito le porzioni di codice analizzate e commentate.

Preparazione Key, Salt, IV

Cifratura della Key, Salt e IV con RSA

Invio delle informazioni al C&C e la funzione di Encryption

Hash (sha256) delle nuove varianti ftcode analizzati in data odierna:

  • 09c2072f03b27204a460df49345f9e9bc1fa0a0ba781321676a2563e9e1db6f6
  • 7b96e6210a60a3d1a19a0ab80dda380ffcffc5c24d2e0f8b5dcdb543396a7f38
  • d151d6acdfed953f7808e2cac488bfcd14e19baccdf0687d965069a962418772