Il post seguente è stato tradotto per gentile concessione di F-Secure

Stamattina presto, mentre eseguivamo il nostro quotidiano data mining, ci siamo imbattuti in una nuova variante di ZeuS 2.x. Comprendeva un nuovo comando backdoor chiamato: win_unlock. Molto interessante. Pare che questo ZeuS 2.x leggermente modificato includa una funzione ransomware.

Quando questa particolare variante viene eseguita, apre Internet Explorer ad una pagina specifica (lex.creativesandboxs.com/locker/lock.php) e impedisce all’utente di fare qualsiasi altra cosa con il sistema infetto. La pagina web aperta, presumibilmente, mostra un qualche tipo di messaggio di estorsione; ma, al momento, non è disponibile perché il sito è offline.

Il modo più semplice per sbloccare il sistema è quello di eliminare semplicemente il trojan. Ma potrebbe essere un po’ complicato, in quanto il trojan impedisce di fare qualsiasi cosa con il sistema infetto, per fortuna il blocco può essere facilmente disattivato.

Guardando il codice che corrisponde a un comando win_unlock, è chiaro che l’informazione di sblocco è memorizzata nel registro.

Lo sblocco può, quindi, essere eseguito facilmente tramite un editor per il registro:

1. Avviare il sistema in modalità provvisoria
2. Aggiungere una nuova chiave denominata syscheck in HKEY_CURRENT_USER
3. Creare un nuovo valore DWORD sotto la chiave syscheck
4. Impostare il nome del nuovo valore DWORD a Checked
5. Impostare i dati per il valore Checked a 1
6. Riavviare

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119
Analisi di Mikko S. e Marko

Fonte: ZeuS Ransomware Feature: win_unlock
Earlier today, while doing our daily data mining, we came across a new variant of ZeuS 2.x. It includes a new backdoor command called: win_unlock. Very interesting, turns out this slightly modified ZeuS 2.x includes a ransomware feature.

When this particular variant is executed, it opens Internet Explorer with a specific page (lex.creativesandboxs.com/locker/lock.php) and prevents the user from doing anything else with the infected system. The webpage that was opened presumably showed some type of extortion message, but it’s currently unavailable because the site is offline.

The most straightforward way to unlock the system is to simply delete the trojan. This can be a bit tricky since the trojan prevents doing anything with the infected system, luckily the locking itself can be easily disabled first.

Looking at the code that corresponds with a received win_unlock command, it’s clear the unlock information is stored to the registry.

Unlocking can therefore be performed quite easily with a registry editor:

  1. boot the system in safe mode
  2. add a new key named syscheck under HKEY_CURRENT_USER
  3. create a new DWORD value under the syscheck key
  4. set the name of the new DWORD value to Checked
  5. set the data for the Checked value to 1
  6. reboot

SHA1: 03f0c26c6ba77c05152a1e0cc8bc5657f0c83119

Analysis by — Mikko S. and Marko

Source: ZeuS Ransomware Feature: win_unlock