AGGIORNAMENTO 19 gennaio: sezione di copertura aggiornata sul terzo malware che FortiGuard Labs ha confermato come malware wiper.FortiGuard Labs è a conoscenza di un rapporto secondo cui più organizzazioni in Ucraina sono state colpite da malware distruttivo. A prima vista, il malware sembra essere una specie di ransomware; tuttavia, non ha i segni rivelatori di ransomware. Sovrascrive il Master Boot Record (MBR) della vittima e i file con estensioni di file specifiche senza alcun meccanismo di ripristino, che sono sufficienti per classificare il malware come malware wiper distruttivo. Perché è significativo? Questo è significativo perché l’attacco coinvolge un malware wiper che distrugge l’MBR della vittima e alcuni file senza alcun meccanismo di recupero. Quanto è diffuso l’attacco? A questo punto, l’attacco ha colpito solo più organizzazioni senza nome in Ucraina. Quali sono i dettagli dell’attacco? Il vettore di attacco iniziale non è stato ancora identificato. Questo attacco coinvolge tre malware. Il primo malware sovrascrive il Master Boot Record (MBR) della vittima che rende non avviabile il sistema operativo Windows e lascia una richiesta di riscatto che dice di seguito: Il tuo disco rigido è stato danneggiato. Nel caso in cui desideri recuperare tutti i dischi rigidi della tua organizzazione, dovrebbe pagarci $ 10k tramite bitcoin wallet1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv e inviare un messaggio viatox ID 8BEDC411012A33BA34F49130D0F186993C6A32DAD8976F6A5D82C1ED23054C05 7ECED5496F65con il nome della tua organizzazione.Ti contatteremo per fornirti ulteriori istruzioni.Il secondo malware scarica semplicemente un malware wiper ospitato su un canale Discord e lo esegue.Il malware wiper cerca e sovrascrive i file con le seguenti estensioni di file sul computer della vittima:. 3DM .3DS .7Z .ACCDB .AI .ARC .ASC .ASM .ASP .ASPX .BACKUP .BAK .BAT .BMP .BRD .BZ .BZ2 .CGM .CLASS .CMD .CONFIG .CPP .CRT .CS .CSR . CSV .DB .DBF .DCH .DER .DIF .DIP .DJVU.SH .DOC .DOCB .DOCM .DOCX .DOT .DOTM .DOTX .DWG .EDB .EML .FRM .GIF .GO .GZ .HDD .HTM . HTML .HWP .IBD .INC .INI .ISO .JAR .JAVA .JPEG .JPG .JS .JSP .KDBX .KEY .LAY .LAY6 .LDF .LOG .MAX .MDB .MDF .MML .MSG .MYD .MYI . NEF .NVRAM .ODB .ODG .ODP .ODS .ODT .OGG .ONETOC2 .OST .OTG .OTP .OTS .OTT .P12 .PAQ .PAS .PDF .PEM .PFX .PHP .PHP3 .PHP4 .PHP5 .PHP6 . PHP7 .PHPS .PHTML .PL .PNG .POT .POTM .POTX .PPAM .PPK .PPS .PPSM .PPSX .PPT .PPTM .PPTX .PS1 .PSD .PST .PY .RAR .RAW .RB .RTF .SAV . SCH .SHTML .SLDM .SLDX .SLK .SLN .SNT .SQ3 .SQL .SQLITE3 .SQLITEDB .STC .STD .STI .STW .SUO .SVG .SXC .SXD .SXI .SXM .SXW .TAR .TBK .TGZ .TIF .TIFF .TXT .UOP .UOT .VB .VBS .VCD .VDI .VHD .VMDK .VMEM .VMSD .VMSN .VMSS .VMTM .VMTX .VMX .VMXF .VSD .VSDX .VSWP .WAR .WB2 .WK1 .WKS .XHTML .XLC .XLM .XLS .XLSB .XLSM .XLSX .XLT .XLTM .XLTX .XLW .YML .ZIPIt cambia anche l’estensione del file interessato in un’estensione casuale di quattro byte. Qual è lo stato della copertura?FortiGuard Labs fornisce la seguente copertura AV contro il malware coinvolto:W32/KillMBR. NGI!trMSIL/Agent.FP!tr.dldrMSIL/Agent.QWILJV!trW32/KillFiles.NKU!tr.ransomMSIL/VVH!trLa seguente copertura AV è disponibile per il terzo malware che FortiGuard Labs ha confermato come malware wiper: MSIL /Agente.VVH!tr
