Malware, da Yoroi Z-Lab un decryptor per LooCipher

Ransomware usato per eseguire campagne estorsive su larga scala

LUG 16, 2019 -

Roma, 16 lug. (askanews) – Un decryptor per il ransomware LooCipher è stato messo a punto dallo Z-Lab di Yoroi (società del Gruppo Cybaze) “con l’obiettivo di impedire ai criminali informatici di sfruttare questo ennesimo strumento di ricatto per minacciare organizzazioni e aziende”.

Nonostante il suo soprannome evocativo che allude sia a ‘Lucifero’, sia alle sue capacità cyber, ‘Cipher’, le funzionalità di questo malware – si legge in una nota – sono piuttosto semplici, e tuttavia capaci di eseguire campagne estorsive su larga scala.

LooCipher è infatti una famiglia di ransomware che si diffonde attraverso e-mail maligne che incorporano documenti Office infetti, cifra tutti i file sul computer vittima, abusa dei servizi proxy di Clearnet-to-Tor per connettersi al suo Command and Control nascosto dietro i siti del servizio di anonimizzazione Tor, The Onion Router.

Per contrastare questa minaccia all’inizio di luglio il team Yoroi Z-Lab ha rilasciato pubblicamente un dettagliato rapporto su LooCipher in quanto il vettore iniziale lasciava prefigurare un’importante diffusione del software malevolo nei giorni successivi. Pochi giorni dopo i ricercatori di Fortinet hanno pubblicato un report su LooCipher focalizzato sull’algoritmo di crittografia. Yoroi ha fatto il resto ricostruendo la chiave originale per decrittare tutti i file interessati.

Spesso le analisi sono sufficienti per bloccare temporaneamente i cyber-criminali condividendo gli indicatori di compromissione (Ioc) che consentono ad attori nazionali e internazionali (Isp, venditori Av, Cert) di bloccare le connessioni o di eliminare i file. Ma quando il ransomware colpisce una vittima, il desiderio finale è quello di essere in grado di decodificare quei file e ripristinare l’ultimo set di dati coerente.

Le ricerche di Fortinet hanno dedicato molto tempo alla descrizione dell’algoritmo utilizzato (Aes-256-Ecb) e hanno raffigurato un codice di decrittazione. Il punto di svolta per la messa a punto del decrittatore, informano i ricercatori di Yoroi, era comprendere il modo in cui la chiave era codificata e, una volta recuperata la chiave offuscata, è stato possibile ricostruire quella originale per decrittare i file. La chiave master è disponibile direttamente in memoria nei segmenti LooCipher. Yoroi Z-Lab ricorda di non “killare” il processo se infettati e di non riavviare la finestra di Windows. Se si blocca il processo o si riavvia il sistema, il decrypter di ZLab Team non potrà funzionare. È possibile scaricare online il decryptor e usarlo gratuitamente.