Rilasciato Decryptor per il Ransomware LooCipher

15/07/2019

decryptor Loocipher ransomware tool

L’azienda di sicurezza Yoroi Z-Lab informa di aver rilasciato un tool per il recupero dei files cifrati dal ransomware LooCipher a patto che il pc non sia stato riavviato dopo l’infezione.

Come è stato veicolato LooCipher

Secondo il rapporto di Yoroi, LooCipher utilizza, come vettore di infezione, allegati Word contenenti macro (.docm) malevoli. In particolare sono stati individuati e analizzati due dropper, contenenti una semplice riga di testo che invita l’utente ad abilitare l’esecuzione delle macro:

  1. “Info_BSV_2019.docm”
  2. “Info_Project_BSV_2019.docm”

Modalità di infezione

Il codice della macro provvede al download del ransomware vero e proprio attraverso una connessione alla rete Tor all’indirizzo “hxxp://hcwyo5rfapkytajg[.]onion”Una volta avviato, il malware inizia a cifrare tutti i file contenuti nell’hard disk, ad eccezione di “Program Files”, “Program Files (x86)”, “Windows” in modo da consentire l’utente di accedere alla macchina e visualizzare la richiesta di riscatto.

Le estensioni utilizzate per cifrare i files sono diverse, come già riscontrato per altre famiglie di ransomware:

.jpg, .jpeg, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .cdr, .svg, .conf, .config, .wb2, .msg, .azw, .azw1, .azw3 , .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class,. java, .asp, .aspx, .cgi, .php, .py, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .jar, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .x3f, .srw, .pef, .raf, .rf, .nrw, .nef, .mrw, .mef, .kdc, .dcr , .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d,. 3fr, .eps, .pdd, .dng, .dxf, .dwg, .psd, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .3g2, .3gp, .asf, .asx, .mpg, .mpeg, .avi, .mov, .flv , .wma, .wmv, .ogg, .swf, .ptx, .ape, .aif, .av, .ram, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v,.mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa3, .amr, .mkv, .dvd, .mts, .vob, .3ga, .m4v, .srt, .aepx, .camproj, .dash, .zip, .rar, .gzip, .mdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc , .nrg, .nri, .cdi, .ai, .doc, .docm, .docx, .dxg, .odb, .odm, .odp, .ods, .odt, .orf, .ppt, .pptm,. pptx, .rtf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .pdf, .mobi, .epub, .sage.

Al termine della procedura di cifratura, LooCipher crea un file di FAQ sul desktop della vittima con le istruzioni per procedere, entro 5 giorni, al pagamento del riscatto tramite versamento ad un indirizzo Bitcoin, ottenuto dinamicamente ad ogni infezione tramite comunicazione col server C2. In caso di indisponibilità della rete, viene fornito un indirizzo di wallet Bitcoin presente all’interno del codice del ransomware. Per comunicare con il C&C, ospitato all’indirizzo di rete Tor hxxp://hcwyo5rfapkytajg[.]onion, il ransomware utilizza una serie di proxy al posto di librerie installate sulla macchina della vittima.

Dettagli tecnici da analisi di Fortinet

Dall’ottima analisi tecnica di Fortinet risulta chiaro che LooCipher utilizza l’algoritmo di crittografia simmetrica AES-128. Quindi recuperando la chiave è possibile ripristinare tutti i file crittografati. La chiave (offuscata) viene inviata al server C&C attraverso una richiesta HTTP con parametro GET (“k=”), insieme all’ID dell’utente (“u=”) e l’IP (“i=”). In questo modo l’attaccante popola il database del server C&C contenente le chiavi di ogni macchina infetta.

Essendo AES un algoritmo di cifratura simmetrica, la stessa chiave può essere utilizzata sia per cifrare che per decifrare i files. La tecnica di offuscamento risulta molto banale, in quanto consiste nella sostituzione di ciascun carattere con un numero a due cifre predefinito e appartenente alla seguente serie:

Conclusioni

Il ransomware potrebbe essere solo alle fasi iniziali del suo sviluppo: al suo interno sono contenuti più algoritmi di crittografia e ciò fa supporre  che l’utilizzo di AES-128 potrebbe essere solo temporaneo. Nel frattempo, le possibili vittime possono utilizzare il decryptor, tenendo presente che la chiave AES deve essere recuperata dalla memoria del PC, quindi il tool funziona solo se il pc non è stato riavviato dopo l’infezione.