ransomware jigsaw

Jigsaw ransomware, di cosa si tratta

Jigsaw ransomware, anche noto come BitcoinBlackmailer, è un ransomware scritto in linguaggio .NET che attacca solamente dispositivi con sistema operativo Windows.

In questo momento vive una fase di quiescenza ma nulla esclude che possa tornare a spaventare le imprese italiane e di tutto il mondo, come ha già fatto in passato. Di conseguenza, è sempre bene restare in allerta e conoscere il proprio potenziale nemico.
Troverete tutte le informazioni necessarie qui.

Sommario degli argomenti

Caratteristiche di Jigsaw ransomware

Jigsaw ransomware è apparso per la prima volta ad aprile del 2016 ed è stato studiato a lungo da TrendMicro.
Il ransomware è stato identificato come RANSOM_JIGSAW.F116FN.

Il suo nome inizialmente era BitcoinBlackmailer ma dopo alcuni aggiornamenti del malware, gli hacker hanno iniziato ad introdurre all’interno delle ransomware note immagini tratte dal film Saw l’Enigmista e di conseguenza, ci si è iniziati a riferire a lui come “Jigsaw” ransomware.

Il protagonista di questo film horror, è soprannominato Jigsaw killer in quanto usa schernire le proprie vittime prima di ucciderle, comunicandogli tramite un robottino dei compiti da portare a termine per avere salva la vita. Era proprio l’immagine di questo robottino ad apparire nel messaggio di riscatto e da qui ha avuto origine il nuovo nome.

Questo ransomware ha una lunga storia di attacchi andati a buon fine.
Le vittime di Jigsaw ransomware sono aziende appartenenti a tutti i settori.

Se vi chiedete chi sia il programmatore che lavora al codice sorgente di Jigsaw ransomware la risposta potrebbe stupirvi.

Esiste un procedimento penale che imputa un cardiologo franco-venezuelano, il dottor Moises Luis Zagala, di essere il creatore di questo terribile malware e di altri Ransomware as a Service. Ossia è accusato di sviluppare ransomware e di cederli ad altri criminali informatici dietro compenso, come strumento per portare avanti i loro piano criminali.

Jigsaw ransomware viene indicato anche con il nome di .Fun ransomware anche se di divertente ha ben poco.
Il ransomware ricorre all’algoritmo AES per crittografare i file presenti sui dispositivi.
I malware si prende gioco delle sue vittime nel modo forse più subdolo possibile: infatti, ogni 60 minuti elimina una certa quantità di file, in tal modo, più le vittime ritardano a pagare, più file verranno eliminati in modo permanente.

Attacco di Jigsaw Ransomware, come si svolge

Un attacco ransomware corrisponde sempre ad una strategia ben congegnata.
Di seguito abbiamo analizzato i punti salienti del modus operandi di Jgsaw dall’inizio dell’infezione alla risoluzione con o senza pagamento del riscatto.

Passaggio 1: Metodo trasmissione ransomware sul dispositivo

Innanzitutto è necessario un mezzo di accesso al dispositivo da prendere in ostaggio.
Questo primo problema viene risolto, in questo caso, tramite l’invio di un allegato infetto contenuto in un’e-mail di spam ma in alcuni casi sono stati sfruttati anche gli Adware. Secondo un’analisi di Trendmicro, Jigsaw ransomware si è diffuso anche grazie ad alcuni siti web per adulti. Il cripto-ransomware arriva come download di file da .1fichier[.]com.

Passaggio 2: Attivazione ed installazione del Jigsaw ransomware

Il secondo passaggio è l’attivazione del ransomware.
Questa avviene nel momento il cui l’utente va ad aprire l’allegato o il download.
Il file .exe che vi è contenuto comincia l’istallazione. Il malware si nasconde sotto nomi come firefox.exe oppure drpx.exe in modo da non essere direttamente riconoscibile. Un nome plausibile aiuta a non destare sospetti.

Passaggio 3: Esecuzione del payload Jigsaw ransomware

Una volta istallato crittografa l’MBR ovvero, il record di riavvio principale e tutti i file utente presenti sul dispositivo ad eccezione degli eseguibili con crittografia AES. Per fortuna non è in grado di diffondersi lateralmente in rete e di conseguenza, i danni sono circoscritti al dispositivo infetto.

Passaggio 4: Richiesta di riscatto e pressione psicologica sulla vittima

La richiesta di riscatto ransomware appare quando il processo di crittografia si è concluso tramite una schermata pop up.
Questa schermata contiene un conto alla rovescia. Solitamente l’importo richiesto da Jigsw ransomware si aggira intorno ai 5.000$.
Allo scadere del tempo il programma elimina gradualmente un file a caso finché la vittima non effettua il pagamento richiesto.
Inoltre, all’interno della schermata è presente un pulsante che se premuto mostra una lista completa dei file criptati.

Ad ogni tentativo di riavvio o o di interruzione del processo in esecuzione del malware sono cancella centinaia di file casuali.
Il processo prosegue per un massimo di 72 ore dopo di che tutti i file sono eliminati.

Passaggio 5: Pagamento e “rilascio” del dispositivo

Per ricevere il pagamento del riscatto, gli hacker mostrano sulla schermata di ricatto un portafoglio Bitcoin.

La vittima dovrà acquistare i Bitcoin necessari e destinarli al portafoglio indicato. Una volta fatto questo dovrà pigiare un apposito pulsante. A questo punto il sistema controlla l’account per il deposito e, se viene rilevato il pagamento, il malware viene aggiornato rimuovendo la crittografia e tutte le tracce di Jigsaw (almeno questa dovrebbe essere la prassi). Insomma, riportando il computer allo stato originale pre intrusione.

Passaggio 5: Decrittazione senza il pagamento del riscatto

In realtà, i ricercatori sono riusciti agilmente ad individuare il modo di decodificare Jigsaw e rimuovere la crittografia a causa dell’uso del .NET framework. In questo modo il ransomware può essere rimosso senza che sia necessario il pagamento del riscatto. La dimensione del riscatto è equivalente solitamente a $ 150 e deve essere pagata in Bitcoin.

Le varianti di Jigsaw ransomware

Esistono molte varianti di Jigsaw ransomware che si differenziano per:

  • Il layout della schermata di pop up di riscatto

  • Alcuni hanno un pulsante per cambiare la lingua del messaggio di riscatto

  • L’importo richiesto che può variare all’incirca dai 10 ai 400 Bitcoin

  • I mezzi utilizzati per infettare il dispositivo (e-mail di spam, adware …)

  • Le versioni più recenti hanno dei codici perfezionati rispetto alle prime

La sostanza comunque è rimasta invariata. La caratteristica distintiva di Jigsaw malware rimane l’eliminazione graduale e progressiva dei file criptati come stimolo per un pagamento tempestivo.

Decrittografare i file compromessi da Jigsaw ransomware

Fortunatamente, un team di white hacker americani è stato in grado di sviluppare uno strumento in grado di decrittografare i file compromessi da Jigsaw ransomware.

Tuttavia, bisogna essere consapevoli che è più probabile che sarà impossibile ripristinare i file colpiti senza la chiave privata.

Come ci si può proteggere, ma soprattutto, è necessario farlo?

Innanzitutto, il lungo periodo di quiescenza e il provvedimento penale a carico del dottor Moises Luis Zagala fanno ben sperare sul fatto che non avremo più a che fare con questo specifico codice ransomware.

Ciononostante la prudenza non è mai troppa, abbiamo visto come in molti casi il successo degli hacker arriva nel momento il cui gli utenti abbassano la guardia per cui, evitiamo questo errore.
D’altra parte, in questo caso, gli hacker hanno scelto come punto di forza non tanto l’inviolabilità del codice (che difatti è ben conosciuto e può essere decriptato senza troppo sforzo da un esperto) ma il panico che il loro messaggio genera nella vittima.
Ossia loro sperano che il malcapitato decida di pagare al più presto pressato dal conto alla rovescia e non faccia affidamento su soluzioni professionali.

In alcuni casi, sono addirittura disponibili dei decrittatori gratuiti online ma fate attenzione.
A volte, la fiducia in questi strumenti può rivelarsi dannosa.

In alcuni casi, gli hacker hanno utilizzato falsi annunci di decrittatori gratuiti per installare un altro ransomware e ricattare sia il malcapitato che i ricattatori.

Conclusioni

Jigsaw è un ransomware che in passato ha sparso il panico in molte realtà aziendali, ormai è noto: difendersi è possibile se ci si rivolge agli esperti al momento giusto.

Questo, però, non è possibile per ogni tipo di ransomware purtroppo perciò rimane fondamentale continuare a proteggere la propria impresa da tutti i tipi di ransomware prima che possano accedere al dispositivo. Delle soluzioni integrate per l’individuazione di virus, per la difesa dallo spam e dal phishing, la formazione del personale su questi temi, la difesa degli endpoint sono misure indispensabili per una esperienza lavorativa serena e appagante.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.