Sicurezza

Manamecrypt: il ransomware che arriva con µTorrent

Oltre alle tecniche di estorsione, i ransomware comparsi negli ultimi mesi hanno in comune anche un’altra caratteristica: si diffondono tutti utilizzando tecniche simili, di solito tramite allegati alle email o exploit-kit che sfruttano vulnerabilità nella navigazione sul Web.

A distinguersi dalla massa è Manamecrypt, un malware individuato e analizzato da GData che utilizza uno stratagemma alternativo.

Secondo quanto ricostruito dagli analisti dell’azienda antivirus di Bochum, il ransomware è stato diffuso in bundle con µTorrent. Il pacchetto contiene, oltre a una versione funzionante del client Torrent, ben due programmi indesiderati.

Il primo è OpenCandy, un programma sviluppato da una società statunitense che al momento dell’installazione modifica le impostazioni del browser cambiando le impostazioni relative all’Home Page e al motore di ricerca predefinito. Il secondo è, appunto, Manamecrypt.

opencandy
OpenCandy, tecnicamente, non è un malware. È solo il classico “programma potenzialmente indesiderato”.

Per qualche motivo, il file eseguibile (innocuo) del client P2P ha come nome “uTorrent.exeuTorrent.exe” invece del classico “utorrent.exe”. Probabilmente la causa è un semplice errore nella copia del file.

Secondo gli analisti GData, il fatto che il ransomware sia inserito in un programma legittimo lo renderebbe sotto un profilo formale più simile a un “classico trojan”. Le differenze tra Manamecrypt e i suoi “colleghi”, però, non si fermano alla tecnica di distribuzione.  

Manamecrypt, infatti, integra anche un sistema di autodifesa adottato solitamente dai trojan, cioè una funzione che blocca alcuni processi predefiniti.

Nella black list ci sono vari antivirus e tool di manutenzione, ma anche siti e applicazioni che non dovrebbero rappresentare una minaccia per il ransomware, come Twitter, YouTube e Vimeo.

maname1
Manamecrypt blocca tutti i processi in cui sono presenti alcuni termini predefiniti.

Molto probabilmente il blocco di simili processi è stato inserito come un “plus” per esasperare la vittima e indurla a pagare il riscatto. 

Per il resto, Manamecrypt si comporta in maniera simile a qualsiasi altro ransomware: codifica i documenti in un file RAR protetto da password e chiede un riscatto in Bitcoin.

maname2
La solita richiesta di riscatto, ma la password si recupera in pochi secondi senza pagare un euro.

Come molti altri Ransomware, però, è ben lontano dall’essere perfetto. Analizzandone il codice, gli analisti di GData hanno trovato il metodo per sbloccare i file senza pagare il riscatto, semplicemente inserendo la password per la decodifica dell’archivio RAR.

La password, infatti, sarebbe composta dal nome dell’archivio stesso e dal nome dell’utente Windows. Non proprio irresistibile.