Ricercatori TrendMicro hanno individuato un nuovo tipo di ransomware che non utilizza file per infettare il sistema operativo, bensì sfrutta il comando psexec usando credenziali amministrative (il che vuol dire che gli attaccanti sono già in possesso di queste credenziali, dopo lo sfruttamento di una vulnerabilità, attacco brute-force ecc) dopo di che inietta il proprio codice all’interno del file di sistema svchost.exe, il file originale viene cancellato rimanendo quindi caricato in memoria.
Dopo di che vengono cancellati file di log, copie shadow e qualsiasi altra informazione che possa far risalire agli analisti i file creati sulla macchina.
Tramite il file svchost viene eseguita la cifratura dei file di sistema e dati dell’utente aggiungendo il suffisso .pr0tect e comunicando con i propri server C&C tramite rete TOR.
Ovviamente viene creato un file di testo contenente le richieste di riscatto per ri-ottenere i propri file. R
imangono sempre validi i consigli che abbiamo indicato in un nostro precedente articolo, e sono: