Scoperto il ransomware SyncCrypt che si nasconde in immagini jpeg

Tempo di lettura: < 1 minuto
Il ricercatore della Emsisoft xXToffeeXx ha scoperto un nuovo ransomware che usa un metodo innovativo per infettare i sistemi, rendendosi all’inizio non rilevabile da quasi tutti gli antivirus. Il CertNazionale ha pubblicato un articolo inerente la scoperta.
 
 
 
Il metodo di diffusione usa, come di consueto, campagne SPAM tramite un allegato contenenti in apparenza ordinanze del tribunale o simili e viene veicolato tramite un file WSF il quale scarica tre immagini JPEG da tre diverse sorgenti nelle quali c’è a sua volta un file zip che alla decompressione installa tutti i file malevoli per attaccare il sistema ospite. 
 
Il file JPEG, se aperto, mostra la seguente schermata:
 
 
 
Il file compresso contiene tre file, il principale veicolo d’infezione è il file sync.exe il quale cifra i dati dell’utente con algoritmo AES, la chiave di cifratura viene a sua volta con una chiave pubblica RSA-4096 contenuta nel codice del malware e salvata nella directory ReadmeKey
 
Il riscatto richiesto equivale a 0.1001270 BTC che sono circa € 350. Attualmente il file immagine viene rilevato da 18 antivirus su 58 come malevolo, la stessa cosa vale per il file principale sync.exe
 
Per ora non ci sono strumenti per il ripristino dei file criptati, quindi rimane importante la prevenzione, riportiamo alcuni articoli utili all’argomento:
 
 
 
Elvis
Seguimi
(Visited 100 times, 1 visits today)

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

NON seguire questo link o sarai bannato dal sito!