da Martin Brinkmann il 27 giugno 2018 in Sicurezza – Nessun commento
Thanatos è un ransomware variante che è stato distribuito tramite campagne di malware negli ultimi mesi.
Vettori di attacco includono la distribuzione attraverso la chat sul Discordia piattaforma di chat, ma anche attraverso altri canali. Gli utenti devono eseguire specificamente preparato i file su Pc Windows per avviare l’infezione ransomware processo.
Diverse versioni del malware sono stati distribuiti con Thanatos 1.1 essere la versione più recente del ransomware e la probabilità che le nuove versioni saranno disponibili.
Il nome Thanatos viene dal file readme che gli aggressori si pianta sul sistema dell’utente. Esso comprende le istruzioni per gli utenti a pagare un riscatto uso di moneta elettronica per accedere a uno strumento di decodifica per decrittografare i file che il ransomware criptati sul dispositivo dell’utente.
Thanatos posiziona i file nella cartella %APPDATA%/Roaming directory utilizzando casuale directory e nomi di file eseguibile che si genera utilizzando il tempo di attività del sistema. Thanotos scansioni directory importanti, come documenti, immagini, OneDrive o desktop e consente di crittografare i file in queste cartelle utilizzando la crittografia AES.
Cisco Talos gruppo ha analizzato Thanatos ed è riuscito a creare uno strumento di crittografia che ha colpito gli utenti possono eseguire per tentare di decifrare i file e riguadagnare l’accesso a questi file, se l’operazione è riuscita.
ThanatosDecryptor è stato rilasciato come open source. Il programma è detto di lavorare con la versione 1.0 e 1.1 di Thanatos e deve essere eseguito con i file crittografati (che hanno l’ .THANATOS estensione) sulla macchina infetta.
Il programma tenta la decifrazione di alcuni tipi di file docx, xlsx, pptx, zip, e una ventina di più al momento. In altre parole: se Thanatos crittografato tipi di file non supportati, ThanatosDecryptor non sarà in grado di decifrare quelle a questo punto nel tempo.
ThanatosDecryptor scansioni directory Thanatos malware obiettivi per i file con il .THANATOS estensione. Ogni file crittografato include un riferimento al file originale, il tipo e il decryptor applicazione utilizza le informazioni per determinare se si dovrebbe tentare di decriptare il file.
Gli sviluppatori descrivono il processo di decodifica nel seguente modo:
ThanatosDecryptor, inoltre, analizza il Registro Eventi di Windows per il quotidiano uptime messaggi e utilizza il file crittografato tempo di metadati per determinare un valore di partenza per la decrittazione. Questo valore viene utilizzato per ricavare una chiave di crittografia: AES, decrittografia è fatto contro il contenuto del file, e la conseguente byte vengono confrontati con i valori noti per essere all’inizio di questi tipi di file. Se il confronto ha esito negativo, incrementa il seme e cerca di questo processo di nuovo. In caso contrario, il file viene decifrato e scritta con il nome del file originale.
Infine, una volta che un file è stato crittografato con successo, ThanatosDecryptor utilizza il valore di inizializzazione da che la decrittografia tentativo come un punto di partenza per la decrittografia tentativi contro il follow-su file (dal momento che sono tutti suscettibili di essere molto simile).
Gli sviluppatori di notare che il programma potrebbe essere migliorata, ad esempio, aggiungendo il supporto per altri tipi di file o utilizzando il multi-threading per velocizzare le cose.
Gli utenti di Windows che sono colpiti da Thanatos ransomware dovrebbe dare ThanatosDecryptor un andare come si può decrittare file crittografati.
Il Talos ricercatori di notare che gli utenti interessati e le imprese non dovrebbero pagare il riscatto “gli autori di malware sono in grado di restituire i dati per la vittima, a causa di problemi presenti all’interno del processo di crittografia utilizzato da questo ransomware”.
Ulteriori informazioni sono disponibili sul Talos Intelligence blog.